L'utilisation de la fonctionnalité de VMware DirectPath I/O pour relayer un périphérique PCI ou PCIe vers une machine virtuelle crée une vulnérabilité de sécurité potentielle. La vulnérabilité peut être déclenchée par un code bogué ou malveillant tel qu'un pilote de périphérique qui s'exécuterait en mode privilégié dans le système d'exploitation invité. Le matériel et les microprogrammes standard actuels n'assurent pas un niveau suffisant de confinement des erreurs suffisant pour permettre à ESXi d'entièrement neutraliser la vulnérabilité.

VMware recommande d'utiliser un relais PCI ou PCIe vers une machine virtuelle uniquement si la machine virtuelle est détenue et administrée par une entité approuvée. Vous devez vous assurer que cette entité ne tente pas de bloquer ou d'exploiter l'hôte depuis la machine virtuelle.

Votre hôte peut être compromis de l'une des manières suivantes.

  • Le système d'exploitation invité peut générer une erreur PCI ou PCIe irrécupérable. Une telle erreur n'altère pas les données, mais peut bloquer l'hôte ESXi. De telles erreurs peuvent se produire en raison de bogues et d'incompatibilités dans les périphériques matériels qui sont relayés, ou en raison de problèmes de pilotes du système d'exploitation invité.

  • Le système d'exploitation invité peut générer une opération DMA (Direct Memory Access) qui provoque une erreur de page IOMMU sur l'hôte ESXi, par exemple, si l'opération DMA cible une adresse située hors de la mémoire de la machine virtuelle. Sur certaines machines, le microprogramme de l'hôte configure les fautes IOMMU pour signaler une erreur irrémédiable via une interruption non-masquable (NMI), ce qui entraîne le blocage de l'hôte ESXi. Ce problème peut être dû à des dysfonctionnements de pilotes du système d'exploitation invité.

  • Si le système d'exploitation sur l'hôte ESXi n'utilise pas le remappage d'interruption, le système d'exploitation invité peut injecter une interruption fallacieuse dans l'hôte ESXi sur n'importe quel vecteur. ESXi utilise actuellement le remappage d'interruptions sur les plates-formes Intel offrant cette possibilité ; le remappage d'interruption fait partie de l'ensemble de fonctionnalités Intel VT-d. ESXi n'utilise pas le mappage d'interruptions sur les plates-formes AMD. Une interruption fallacieuse est susceptible de provoquer le blocage de l'hôte ESXi ; cependant, il peut théoriquement exister d'autres manières d'exploiter ces interruptions.