Kann eine virtuelle Maschine von einem Virus befallen werden?
Virtuelle Maschinen (VMs) sind nicht vollkommen sicher und immun gegenüber Malware, aber mit einigen bewährten Verfahren können die Risiken eingedämmt werden.
Als IT-Administrator ist es gängige Praxis, eine zusätzliche virtuelle Maschine zu verwenden, um eine Vielzahl von Verwaltungs- und Testaufgaben auszuführen.
Die isolierte Umgebung von virtuellen Maschinen (VMs) ermöglicht es Desktop-Administratoren, den zugrunde liegenden Desktop vor potenzieller Malware zu schützen. Das führt oft zum Irrglauben, dass VMs immun gegen Viren sind.
Für Administratoren ist es wichtig zu verstehen, welche Arten von Sicherheitsrisiken bei virtuellen Maschinen bestehen, ob sie sich mit Viren identifizieren können und wie sie die Sicherheit von VMs gewährleisten können.
Können virtuelle Maschinen mit Viren infiziert werden?
VMs können genauso wie ein Desktop-PC oder Notebook mit Viren infiziert werden. Zwar gibt es bei VMs und Desktops viele der gleichen Sicherheitsrisiken, doch VMs in einer Unternehmensumgebung haben einen großen Vorteil: In den meisten Fällen werden sie nur von geschulten IT-Administratoren verwendet. Das ist kein architektonischer Vorteil, kann aber sicherstellen, dass ein Benutzer auf dem Gerät keine persönliche E-Mail mit einem virenverseuchten Link öffnet.
Außerdem können Administratoren durch die Sandbox-Natur von VMs den gesamten Internetzugriff deaktivieren, um die Maschine noch besser zu schützen. Eine VM kann auch so eingerichtet werden, dass sie nur bei der Ausführung von Verwaltungsaufgaben eine VPN-Verbindung zum Server-Backend herstellt. Dadurch wird die Möglichkeit ausgeschlossen, einen Virus aus dem Internet herunterzuladen.
Abbildung 1: So sind virtuelle Maschinen in die Infrastruktur eingebunden.
Trotz all dieser Maßnahmen ist es immer noch möglich, dass eine virtuelle Maschine mit einem Virus infiziert wird. Beispielsweise kann ein Virus in der Unternehmensumgebung über das VPN zurück zur VM gelangen. Aus diesem Grund sollte immer eine Antivirensoftware verwendet werden, auch auf einer VM.
Auch neuere Bedrohungen wie dateilose Malware, Hypervisor-Exploits oder Angriffe auf Virtualisierungslösungen wie VMware, Hyper-V oder KVM sind möglich. Außerdem gibt es spezialisierte Malware für VMs, die darauf abzielen, aus der VM auszubrechen und so den Host oder weitere VMs zu infizieren. Das wird als VM-Escape bezeichnet.
Was passiert, wenn eine VM mit einem Virus infiziert wird?
Die Folgen eines Virus auf einer VM hängen von der Art des Virus oder der Malware ab, die Auswirkungen treten jedoch nur auf der virtuellen Festplatte auf.
Zum Beispiel verschlüsselt Ransomware Dateien auf der Windows-Installation innerhalb der virtuellen Festplatte. Da die virtuelle Festplatte jedoch nur eine .VMDK-Datei auf dem Notebook eines Benutzers ist, kann sie schnell gelöscht oder durch ein Backup oder einen Snapshot ersetzt werden.
Wenn Spyware auf einer VM platziert wird, kann sie zwar Screenshots vom Bildschirm eines Benutzers erstellen, aber keine Screenshots vom Host-Computer.
Es ist wichtig zu wissen, dass Viren sich auf angeschlossene Geräte ausbreiten wollen. Das Host-Notebook sollte daher mit Optionen von Virtualisierungsanbietern geschützt werden.
Wenn Spyware auf einer VM platziert wird, kann sie zwar Screenshots vom Bildschirm eines Benutzers erstellen, aber keine Screenshots vom Host-Computer.
Darüber hinaus können Administratoren die Möglichkeit einschränken, Ordner zwischen Host und VM zu teilen, über die Netzwerkverbindung zu kommunizieren und Inhalte zwischen VM und Host auszuschneiden und einzufügen. Um zusätzliche Sicherheit zu gewährleisten, stellen Sie sicher, dass der Virenscanner sowohl auf der VM als auch auf dem Laptop auf dem neuesten Stand ist und dass die Ordner- und Netzwerkfreigabe deaktiviert ist.
Was sollten Sie tun, wenn eine VM mit einem Virus infiziert ist?
Wenn ein Virus auf einer VM erkannt wird, schließen Sie alle offenen VPNs, die eine Verbindung zum Backend des Unternehmens herstellen, und fahren Sie die VM herunter. Trennen Sie alle existierenden Netzwerkverbindungen der VM. Benachrichtigen Sie dann andere Administratoren, dass die VM kompromittiert ist. Prüfen Sie, ob das Host-System und angrenzende VMs ungewöhnliches Verhalten aufweisen.
Virenscans sollten auf allen Servern durchgeführt werden, die mit der VM verbunden waren, und auch das Host-Gerät sollte gescannt werden. Löschen Sie dann die VMDK oder stellen Sie sie mit einem Snapshot oder Backup der VM wieder her. Prüfen Sie vor der Wiederherstellung, ob eventuell Snapshot und Backup ebenfalls infiziert sind. Aktualisieren Sie die Virtualisierungssoftware der VM, wenn Sie einen Hypervisor-Exploit vermuten.
Versuchen Sie über Logging nachzuvollziehen, wie der Virus in die VM gelangen konnte, um eventuelle Schwachstellen zu identifizieren.
Sollten Sie eine Verwaltungs-VM auf dem Server-Backend verwenden?
Eine andere Form der VM-Verwaltung ist das Ausführen einer VM auf dem Unternehmensservernetzwerk. Diese VM kann auch ein Remote Desktop Session Host sein, mit dem sich zusätzliche Administratoren anmelden und die Umgebung verwalten können. Für die IT ist das besser, als Administratoren bei Domänencontrollern anmelden zu lassen, um Aufgaben der Domänenverwaltung durchzuführen.
Wenn Hacker über einen Virus Zugriff auf diese VM erhalten, können sie auf alle anderen Systeme zugreifen und Tools auf der VM nutzen, um das Unternehmen zu infiltrieren. Aus diesem Grund ist es wichtig, dass eine Verwaltungs-VM niemals Zugriff auf das Internet hat und dass ein Administrator niemals persönliche oder private Aufgaben auf der VM ausführt. Außerdem benötigt die VM einen Virenscanner. Wenn die VM einen Virus aufnimmt, ist es wichtig, die VM auszuschalten, das gesamte Netzwerk zu scannen und dann die VM zu löschen oder mit einem Snapshot oder Backup wiederherzustellen.
Können nicht-persistente VMs die Sicherheit verbessern?
Eine Möglichkeit besteht darin, eine nicht-persistente Verwaltungs-VM auf Notebooks oder in der Unternehmensserverumgebung zu verwenden. Das schützt ein Unternehmen jedoch nicht automatisch vor Viren, da sich der Virus über das Netzwerk verbreiten oder auf den Host-Computer übertragen werden kann.
Es gibt einen großen Vorteil bei der Verwendung einer nicht-persistenten VM: Durch einen Neustart der VM kann der Virus beseitigt werden. Das liegt daran, dass eine nicht-persistente VM bei jedem Neustart auf einen vorher festgelegten Zustand zurückgesetzt wird, der den Virus nicht enthält. Dennoch ist es wichtig, einen Virenscanner auf der VM laufen zu lassen, um eine Warnung zu erhalten, wenn ein Virus vorhanden ist.
Zusätzliche Sicherheitsmaßnahmen für VMs
Eine bewährte Methode für höhere VM-Sicherheit ist Mikrosegmentierung, das den Netzwerkverkehr zwischen verschiedenen VMs streng überwacht. So wird eine Malware-Ausbreitung innerhalb der Infrastruktur verhindert.
Moderne Virtualisierungsplattformen ermöglichen die Nutzung virtueller Trusted Platform Modules (TPM) für VMs, um Verschlüsselungen sicher zu speichern und die Integrität des Boot-Prozesses zu überprüfen. Das schützt vor Angriffen, die versuchen, das Betriebssystem oder kritische Systemdateien zu manipulieren.
Genauso wichtig ist es, dass der Hypervisor geschützt wird, dazu gehört das regelmäßige Einspielen von Security Patches, das Deaktivieren von nicht genutzten Funktionen und die Nutzung von Zugriffskontrollen. Außerdem sollten Shared Accounts weitestgehend vermieden werden.
Auch die Echtzeitüberwachung von VMs durch moderne Sicherheitslösungen wie Endpoint Detection and Response (EDR) oder Extended Detection and Response (XDR) ist entscheidend. Diese Systeme analysieren verdächtige Aktivitäten innerhalb der VM und erkennen Angriffe oft, bevor sie Schaden anrichten können. Ergänzend dazu kann ein Application Whitelisting verhindern, dass nicht autorisierte oder potenziell gefährliche Programme innerhalb der VM ausgeführt werden.
Durch die Kombination dieser Maßnahmen können Unternehmen das Sicherheitsniveau ihrer VMs erheblich steigern und das Risiko von Cyberangriffen minimieren.