Se houver alguma brecha de segurança na Máquina Virtual, na verdade, o malware poderá pular de um para o outro. Havia PoCs no passado.
Além disso, a maioria dos malwares detecta que ele está sendo executado em um ambiente visualizado e será desativado / destruído para tornar a análise forense mais difícil.
Além disso, você tem tráfego de rede - e isso pode ser outro ponto de ataque. Alguns malwares podem infectar o hardware e permanecer dentro do hardware - por isso, se você passar por USB ou qualquer outra coisa que possa ser infectada.
Guest Addons seria sua maior preocupação - sem eles o Windows é bastante limitado, com eles instalados você está expondo o host ...
Nenhum software é 100% seguro, nunca foi e nunca será. Especialmente de código fechado!
O que você está tentando alcançar aqui?