Trusted Design
This technique has been deprecated and should no longer be used.
A type-1 hypervisor is a software layer that sits between the guest operating systems and system's hardware. (Citation: Wikipedia Hypervisor) It presents a virtual running environment to an operating system. An example of a common hypervisor is Xen. (Citation: Wikipedia Xen) A type-1 hypervisor operates at a level below the operating system and could be designed with Rootkit functionality to hide its existence from the guest operating system. (Citation: Myers 2007) A malicious hypervisor of this nature could be used to persist on systems through interruption.
T1062は、攻撃者がゲストOS(仮想マシン内)の制限を突破し、それを管理している上位の「ハイパーバイザー」や「ホストOS」を制御下に置くことで、「特権昇格(Privilege Escalation)」や「防御回避(Defense Evasion)」を狙うものです。
この手法で攻撃者は、「仮想マシンの隔離環境(サンドボックス)という牢獄を破り、システム全体の支配権を握ること」を実現します。
ホストへのエスケープ:
本来なら安全に隔離されているはずの仮想マシン(VM)から飛び出し、物理ホストOSや他の仮想マシンのデータ・メモリへアクセスします。
検知の完全な回避:
マルウェアをハイパーバイザー層(リング-1と呼ばれる超特権層)で動作させることで、ゲストOS内のセキュリティソフト(EDRなど)からは絶対に検知できない不可視の拠点を構築します。
一般的に、ハイパーバイザーの脆弱性(バグ)を悪用して実行されます。
ゲストOSへの侵入:
攻撃者はまず、クラウド上の仮想マシンや、検証用のサンドボックス環境(ゲストOS)に一般ユーザーまたは管理者として侵入します。
ハイパーバイザーの脆弱性悪用:
仮想化ソフトウェア(VMware、VirtualBox、KVM、Hyper-Vなど)に存在する、メモリ管理や仮想デバイスの制御に関する未修正の脆弱性(エクスプロイト)を実行します。
境界の突破:
脆弱性を突くことで、ゲストOSに割り当てられたメモリ空間の外へコードを強引に実行させ、ホストOSのプロセス(例: vmware-vmx.exe など)の権限を乗っ取ります。
ホストの支配:
ホストOS上でシェル(コマンド実行環境)を獲得し、同じホスト上で動いている他のすべての仮想マシンを盗聴・操作できる状態になります。
「仮想化ソフトウェアの最新化」と「構成の最小化」が必須です。
ハイパーバイザーの迅速なパッチ適用:
VMwareやHyper-Vなどの仮想化基盤のセキュリティアップデートは、OSのパッチと同等、あるいはそれ以上の最優先事項として適用します。
不要な仮想デバイスの無効化:
ゲストOSとホストOSの間で、不要な機能(クリップボードの共有、ドラッグ&ドロップ、3Dグラフィックスアクセラレーション、不要な仮想USBコントローラー)を徹底的に無効化し、攻撃の侵入経路(アタックサーフェス)を減らします。
ホストOSとゲストOSのネットワーク分離:
万が一エスケープされた場合に備え、ホストOSの管理ネットワークと、ゲストOSが所属するサービスネットワークを強固に分離(VLAN等)しておきます。
「サンドボックス」の崩壊:
セキュリティアナリストは不審なファイルを「サンドボックス(仮想環境)」で動かして安全に解析しますが、このT1062(T1611)を悪用するマルウェアは、解析環境そのものを破壊してアナリストの端末(ホスト)を逆に感染させることができます。
非常に高い技術力が必要:
ハイパーバイザーを突破するエクスプロイトの開拓は極めて難易度が高く、主に国家支援型のAPTグループや、超高額なサイバー武器を扱うベンダーによって利用される傾向にあります。
CWE-265: Privilege Requirements:
異なる権限レイヤー間の隔離が不適切である設計上の不備。
CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer:
メモリバッファの範囲外操作(バッファオーバーフローなど)。ハイパーバイザーエスケープの多くは、このメモリ管理のバグを突いて実行されます。
歴史的に、ハッキングコンテスト(Pwn2Ownなど)や実際の標的型攻撃で、非常に大きな衝撃を与えた脆弱性が並びます。
CVE-2017-4901:
VMware Workstation/Fusionに存在した、仮想USBコントローラーの不備を突いてゲストOSからホストOSでコードを実行可能だった脆弱性(エスケープの典型例)。
CVE-2023-32055:
VMware Toolsを介して、ゲストOSの特権ユーザーがホストへのエスケープや特権昇格を行えた脆弱性。
VENOM (CVE-2015-3456):
QEMUの仮想フロッピーディスクコントローラーのバグ。多くのオープンソース系ハイパーバイザー(KVMやXen等)に影響を与え、ゲストからホストへのエスケープが可能として当時大騒ぎになりました。
クラウドサービス(IaaS)を利用している場合、ハイパーバイザー自体の保護はクラウド事業者(AWSやAzureなど)の責任範囲となりますが、オンプレミスでVMwareやHyper-Vを自社運用している場合は、「ハイパーバイザーのパッチ漏れ=全仮想マシンの全滅リスク」を意味します。インフラ管理者はゲストOSだけでなく、土台であるハイパーバイザーの脆弱性情報を常に注視してください。
この攻撃手法に関連する CVE は登録されていません。