Jason Geffner da CrowdStrike descobriu uma vulnerabilidade de segurança que afeta diversas plataformas de máquinas virtuais, incluindo Xen, KVM, VirtualBox e QEMU. Tomando vantagem sobre um bug presente no código do Controlador de Disquetes, que existe desde 2004, esta falha pode permitir que "...usuários mal-intencionados saiam dos limites da máquina virtual (VM) afetada e potencialmente obtenham permissão de execução de códigos no host". Esta falha é independente do sistema operacional, o que significa que afeta todas as plataformas executando o software da VM, incluindo, mas não se limitado ao Linux, Windows e Max OS X.
Uma vez que o usuário mal-intencionado chegou ao host, ele pode atacar a máquina virtual ou as demais VMs hospedadas na máquina infectada. O website do VENOM (Virtualized Environment Neglected Operations Manipulation) criado pela CrowdStrike ilustra como a falha pode afetar um sistema. O VENOM foi classificado como CVE-215-3456 pelo Banco de Dados de Vulnerabilidades Nacional dos Estados Unidos (US National Vulnerability Database). De acordo com o relatório, os seguintes hypervisors NÃO são afetados: VMware, Microsoft Hyper-V e Bochs.
Para que o usuário mal-intencionado possa obter benefício do VENOM, ele precisará ter privilégios administrativos (root) no sistema operacional virtualizado. Até o momento, nenhum exploit utilizando-se do VENOM foi encontrado, mas isso não quer dizer que ele não exista. O website do VENOM descreve a vulnerabilidade como:
"O sistema operacional virtualizado (guest) se comunica com o FDC (floppy disk controller - controlador de disquete) enviando comandos como seek (procurar), read (ler), write (gravar), format (formatar), entre outros, para a porta de entrada e saída do FDC. O FDC virtual do QEMU usa um tamanho fixo de buffer para armazenar estes comandos e seus parâmetros de dados associados. O FDC mantém o controle da quantidade de dados que deve esperar para cada comando e, depois que todos os dados esperados de um comando são recebidos da máquina virtual, o FDC executa o comando e limpa o buffer para o próximo comando.
Esse processo de reset do buffer é executado imediatamente após o processamento de todos os comandos do FDC, exceto dois. Um usuário mal-intencionado pode enviar estes comandos (e especialmente parâmetros de dados especiais) através da máquina virtual para o FDC a fim de estourar o buffer de dados (buffer overflow) e executar códigos arbitrários no processo do hypervisor do host."
Os administradores são alertados que, só porque não usam ativamente a unidade virtual de disquete, que estão imunes ao ataque. Drives de disquete virtual são adicionados automaticamente às novas máquinas virtuais, e "um bug não-relacionado faz com que a vulnerabilidade FDC continue ativa e explorável por usuários mal-intencionados".