VM-Ware Player Breakout?

[Selter]

Hallo zusammen,

bei der Verwendung von Firefox in einer Linux-Mint VM (Host: Windows 10pro) hat auf dem Host Bitdefender kritische Warnungen ausgegeben:

Funktion:Online-Gefahrenabwehr
Wir haben diese gefährliche Seite zu Ihrem Schutz blockiert:

https://t5lxz7dtq4iz.com/

Aufgerufen durch: vmnat.exe Gefährliche Seiten versuchen, Software zu installieren, die dem Gerät schaden, personenbezogene Daten sammeln oder ohne Ihre Zustimmung aktiv werden kann.

Funktion:Online-Gefahrenabwehr
Wir haben diese Seite zu Ihrem Schutz blockiert:

https://t5lxz7dtq4iz.com/

Aufgerufen durch: vmnat.exe Die Seite versuchte eine PUA (potenziell unerwünschte App) auf Ihr Gerät herunterzuladen. Solche Apps zeigen Verhaltensweisen, die ein Risiko für die Sicherheit Ihres Geräts und Ihrer Daten darstellen.

VMware Workstation 17 Player (17.0.0 build-20800274)

Wie kann das aus der VM auf den Host kommen?
Welche Einstellungen sind für die VM zu machen, damit sie vom Host abgeschottet ist?

 

[OMGWTFBBQ]

Bitdefender wird einfach deinen kompletten Traffic mitlesen. Aus der VM ausgebrochen ist da nichts.

 

[Selter]

Ok - dann kann ich mir einen Scan vom USB-Stick sparen, oder?

 

[madmax2010]

mach den Antivirus weg.. Dann passiert so was auch nicht Antiviren brechen gern verschlüsselte Verbindungen auf, parsen den inhalt durch einen haufen unterschiedlich alter und teils verwundbarer Tools und verschlüsseln dann die Verbindung wieder.

In der IT Sicherheit geht es stark darum Angriffsflaeche zu minimieren. Antiviren tun das Gegenteil. Versuch Bitdefender los zu werden und schau, dass möglichst nichts danach kaputt ist. Diese Tools graben sich tief ins System und richten leider relativ oft Schäden an, die sich nur recht schwierig finden lassen

Ok - dann kann ich mir einen Scan vom USB-Stick sparen, oder?

eher nicht. Kann ja immernoch sein, dass Bitdefender dir da was ins System geholt hat.

 

[Mickey Mouse]

naja, den Bitdefender kann man schon einsetzen, es scheint sich ja tatsächlich um eine "etwas komische" Webseite zu handeln

der Punkt ist doch der: für den Bisdefender ist der HyperV, VMware Player, VirtualBox oder was du da auch immer genutzt hast, ein ganz "normales" (ok, sehr System nahes) Programm und wird überwacht.
von diesem Programm werden bedenkliche HTTPS Seiten aufgerufen, du lässt ja den Netzwerkverkehr durch und das wird angemeckert.

das eigentlich "bemerkenswerte" daran ist in erster Linie, dass der Virenscanner auf dem Host durch den Netzwerk Trafic auf die Gefahr aufmerksam wird/macht und kein Tool in der VM, z.B. dass der Browser dort nicht blockt.

gefährlich ist die Sache eigentlich nur, wenn du NICHT diese Seite aufgerufen hast! Das würde bedeuten, dass deine VM bereits infiziert ist.

 

[OMGWTFBBQ]

HTTPS Traffic aufbrechen, der in einer VM seinen Ursprung hat. Das würde mir am ehesten Sorge bereiten.

 

[madmax2010]

habe ich schonmal bei kaspersky beobachtet. Da wurde beim "Wieder zu machen" jedoch ein Self signed Cert genutzt, welches in der VM nicht vertrauenswürdig war.

 

[Selter]

Diese Seite mit der seltsamen URL habe ich nicht aufgerufen. Kann nur sein, dass eine Seite, wo viele teilweise dubiose Werbung drauf war, von der Seite etwas laden wollte

 

[madmax2010]

bisschen interessant:

➜  ~ curl https://t5lxz7dtq4iz.com/
<html>
<head><title>301 Moved Permanently</title></head>
<body>
<center><h1>301 Moved Permanently</h1></center>
<hr><center>nginx/1.19.5</center>
</body>
</html>

➜  ~ curl -I  https://t5lxz7dtq4iz.com/
HTTP/1.1 301 Moved Permanently
Server: nginx/1.17.6
Date: Sun, 18 Dec 2022 15:48:21 GMT
Content-Type: text/html
Content-Length: 169
Connection: keep-alive
Location: https://google.com
Expires: Thu, 01 Jan 1970 00:00:01 GMT
Cache-Control: no-cache
X-Request-ID: 99b9b180f04ffde40daa8d0fbc702e4d
Strict-Transport-Security: max-age=0; includeSubdomains
➜  ~

hast du irgendwelche plugins in deinen Browsern?

 

[Selter]

Nein, das ist ein ziemlich nacktes Linux Mint mit Firefox in der VM.

Der Vorfall war allerdings schon am Freitag.

 

[Mickey Mouse]

HTTPS Traffic aufbrechen, der in einer VM seinen Ursprung hat. Das würde mir am ehesten Sorge bereiten.

das ist doch kein HTTPS aufbrechen!
es wird einfach nur Traffic auf den Port 443 zu einer Adresse auf einer Blacklist gemeldet, mehr "Magie" ist da doch gar nicht hinter...

 

[OMGWTFBBQ]

Hatte das beim lesen so verstanden, dass nicht die Seite an sich schlecht ist, sondern was evtl. runter geladen wird. Einfaches blocken der URL ist beim wahrscheinlich verwendeten Bridged mode dann doch nichts schlimmes.

 

[BFF]

Die Seite "t5lxz7dtq4iz" die da versucht wurde aufzurufen taucht wohl auf DNS/Malwere-Blocklisten auf.
Das wird der Bitdefender wohl auch drin haben.

Die Domain selbst scheint mal bei Google gehostet worden zu sein.

Keine Ahnung was da wirklich mal lief.
-> https://t5lxz7dtq4iz.com.dewebc.com/

Die Waybackmachine hilft leider auch nicht weiter zu der o.g. Domain. Das ist nur der Redirect erfasst.

 

[Ranayna]

Uebrigends ein Weg um das abzustellen: Stelle den Netzwerkadapter von NAT auf Bridged.
Dann bekommt die VM eine eigene IP von deinem Router, und der Host sollte den Netzwerktraffic eigendlich nicht mehr so ohne weiteres sehen koennen.