Опубликована информация о критической уязвимости в гипервизоре Hyper-V

Исследователи в области кибербезопасности из компании Guardicore Labs опубликовали подробности о критической уязвимости в гипервизоре Hyper-V, которую Microsoft исправила в мае 2021 года.

Уязвимость ( CVE-2021-28476 ) получила оценку в 9,9 балла по шкале CVSS и затрагивает драйвер виртуального сетевого коммутатора Hyper-V (vmswitch.sys). Проблема может быть проэксплуатирована для удаленного выполнения кода или вызова состояния «отказа в обслуживании».

Уязвимость затрагивает версии Windows 7, 8.1 и 10, а также Windows Server 2008, 2012, 2016 и 2019. Злоумышленник с виртуальной машиной Azure может проэксплуатировать уязвимость путем отправки специально созданного пакет на узел Hyper-V.

«Вызов состояния «отказа в обслуживании» виртуальной машины Microsoft Azure приведет к сбою основных частей инфраструктуры Azure и отключению всех виртуальных машин, которые используют одну и ту же компьютерную систему», — пояснили эксперты.

Злоумышленник, способный проэксплуатировать RCE-уязвимость, может перехватить контроль над системой и запущенными на ней виртуальными машинами, получив таким образом доступ к конфиденциальной информации и возможность запускать вредоносные полезные нагрузки.

Проблема связана с тем, что при обработке OID-запросов vmswitch не проверяет значение запроса и может разыменовать недопустимый указатель.

По словам исследователей, существует два сценария атаки: когда недействительный указатель приводит к сбою хоста Hyper-V или когда ядро ​​хоста будет читать из регистра устройства, отображаемого в памяти, что приведет к удаленному выполнению кода.