Microsoft Hyper-V z krytycznym błędem

Hyper-V jest drugim pod względem popularności oprogramowaniem do tworzenia maszyn wirtualnych. Hiperwizor Microsftu znajduje szerokie zastosowanie zarówno w środowisku lokalnym Windows, jak i chmury obliczeniowej Azure.

Luce wykrytej przez Guardicore przypisano symbol CVE-2021-28476, zaś w klasie CVSS otrzymała ocenę 9.5, co oznacza, że ma status krytyczny.

Wykorzystanie podatności na niezałatanych maszynach może mieć druzgocący wpływ na działanie całego systemu, bowiem umożliwia unieruchomienie hosta lub wykonanie na nim dowolnego kodu.

Błąd występuje w sterowniku przełącznika sieciowego Hyper-V (vmswitch.sys) i dotyczy Windows 10 i Windows Server 2012 do 2019.

Luka pojawiła się w kompilacji z sierpnia 2019 r. i otrzymała łatkę w maju br. Wada polega na tym, iż przełącznik wirtualny Hyper-V nie weryfikuje wartości żądania OID (identyfikator obiektu) przeznaczonego dla karty sieciowej. Napastnik, który skutecznie wykorzysta tę lukę, musi mieć dostęp do maszyny wirtualnej gościa, a następnie wysłać specjalnie spreparowany pakiet do hosta funkcji Hyper-V. Rezultatem może być albo awaria hosta i zamknięcie wszystkich działających na nim maszyn wirtualnych, albo możliwość zdalnego wykonania kodu na hoście, co daje pełną kontrolę nad nim i podłączonymi "wirtualkami".

- Wprawdzie Microsoft wydał aktualizację do luki CVE-2021-28476, aczkolwiek nie wszyscy administratorzy uaktualniają urządzenia zaraz po wydaniu poprawek. Niestety, nadal spotykamy się z nieuaktualnianymi nawet przez kilka lat systemami pracującymi w sieciach korporacyjnych. Często prowadzi to do poważnych komplikacji. Najbardziej spektakularnym przykładem jest luka zabezpieczeń EternalBlue wykorzystana przy atakach WannaCry i NotPetya - powiedział Dariusz Woźniak z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.

Warto podkreślić, że podatne na ataki są jedynie lokalne wdrożenia bazujące na Hyper-V, zaś problem nie dotyczy platformy Azure.