虚拟化平台的安全研究现状与趋势 栾尚聪 阿里云资深安全工程师 PIO. 栾尚聪（好风）： 阿里云－云平台安全团队 • 虚拟化逃逸漏洞：XSA-148、XSA-182 … • HITB AMS 2016 “Xen平台逃逸攻击” • Blackhat USA 2016 “XSA-182撕裂虚拟化平台” 目录 ·虚拟化安全与威胁 ·虚拟化逃逸攻击 ·侧信道攻击 ·Q&A 一 虚拟化安全与威胁 虚拟化技术 通过使用控制程序隐藏特定计算平台的实际物理特性，为用 户提供抽象的、统一的、模拟的计算环境。 虚拟化技术 通过使用控制程序隐藏特定计算平台的实际物理特性，为用 户提供抽象的、统一的、模拟的计算环境。 控制程序：VMM（虚拟机监视器）或 Hypervisor 计算环境：VM（虚拟机）或 Domain（域） 虚拟化架构 Xen Architecture KVM Architecture 虚拟化基础设施  Hypervisor  Qemu  Services  Tool Stack 基本攻击界面 基本攻击界面 基本攻击界面 基本攻击界面 基本攻击界面 威胁与分类  设计与实现问题 拒绝服务（>90%） 信息泄露 客户机安全 逃逸攻击  侧信道问题 信息获取 行为影响 Xen/KVM漏洞统计 60 50 40 30 20 10 0 注： 1. 原始数据采集自CVE漏洞库和XSA公告 2. 相应的Qemu漏洞算入各自的漏洞数据中 Xen KVM 二 虚拟化逃逸攻击 Escape Researches时间线 VMware CloudBurst KVM-qemu Unplug Devices 2009 2016 Xen XSA-182 2010 2015 Xen Qemu XSA-148 VENOM Xen Bad SYSRET 2011 2014 2012 2013 1）VMware CloudBurst - 2009 SVGA 2D • SVGA_CMD_RECT_COPY • SVGA_CMD_DRAW_GLYPH SVGA 3D • • • • • SETRENDERSTATE SETLIGHTENABLED SETRENDERTARGET SETCLIPPLANE SETTRANSFORM VMware SVGA Guest <-> Host 2) Bad SYSRET - 2012 CVE-2012-0217 The x86-64 kernel system-call functionality in Xen 4.1.2 and earlier, …Solaris…illumos…SmartOS …FreeBSD… NetBSD…Microsoft Windows…and possibly other operating systems, when running on an Intel processor, incorrectly uses the sysret path in cases where a certain address is not a canonical address, which allows local users to gain privileges via a crafted application.