Joanna Rutkowska : Poupées russes et VM

• Imprimer

Kick Ass Hypervisor Nesting! clame le dernier billet de Joanna Rutkowska. Un rappel discret à une communication peu remarquée de Brandon Baker, de Microsoft qui, durant la dernière BlackHat 2007, donnait une conférence intitulée « Kick Ass Hypervisoring: Windows Server Virtualization ». Les travaux de l'équipe Rutkowska sur les machines virtuelles intriquées avancent, et les chercheurs affirment pouvoir désormais virtualiser des hyperviseurs complexes -tels Virtual PC de MS ou Virtual Box de Sun- avec les fonctions SVM (shared virtual memory) activées. L'auteur, à l'aide d'une capture d'écran, montre comment il est possible d'intercepter un même événement à la fois dans la partition parente Vista (elle-même déjà « BluePillée ») et depuis une VM, en l'occurrence un Windows XP tournant sous Virtual PC. En marge de cette annonce, l'on peut également se reporter à deux informations connexes. La première évoquée par Miss Joanna : il s'agit d' HyperSpace de Phoenix -un employeur de Rutkowska- qui utilise un hyperviseur tournant au sein d'une VM matérielle. Cet hyperviseur, renommé HyperCore, sert à héberger un Linux minimaliste qui supportera des fonctions de bases telles qu'un navigateur Web, un client VoIP, un mediaplayer, un logiciel de messagerie smtp et « IM » et un accès distant destiné à la maintenance du système. Bref, un Asus eee embarqué, disponible dès le boot de la machine. Le noyau Windows traditionnel vient également s'installer au dessus de la couche HyperCore. Phoenix vise le marché des ordinateurs portable. Plus ou moins à la même période, l'un des adversaires de Joanna Rutkowska, (D. Brown de Matasano) décrit par le menu à quoi pourrait bien ressembler une machine virtuelle « injectable », une sorte de VM-pentest qui ressemblerait à s'y méprendre au sous-marin miniaturisé du Voyage Fantastique de Richard Fleischer. Plus intéressant que la description de la carrosserie de ce véhicule extra-système, ce sont les notes et références (conférences, fichiers Powerpoint etc) que l'auteur mentionne au fil des « commentaires » faisant suite à l'article.