Pesquisadores publicam detalhes sobre vulnerabilidade crítica recente do Hyper-V

29

Os pesquisadores de segurança do  Guardicore Labs  estão compartilhando detalhes de uma vulnerabilidade crítica no Hyper-V que a Microsoft corrigiu em maio de 2021.

Rastreada como CVE-2021-28476 com uma pontuação CVSS de 9,9 , a vulnerabilidade de segurança impacta o driver de comutação de rede virtual do Hyper-V (vmswitch.sys) e pode ser explorada para alcançar a execução remota de código ou causar uma negação de condição de serviço.

Hyper-V é um hipervisor nativo que fornece recursos de virtualização para sistemas de desktop e nuvem e que a Microsoft usa como a tecnologia de virtualização subjacente para o Azure.

O problema de segurança que o Guardicore Labs (em colaboração com o SafeBreach Labs) descobriu estava provavelmente em produção por mais de um ano, visto que apareceu pela primeira vez em uma compilação de vmswitch em agosto de 2019. A vulnerabilidade afeta o Windows 7, 8.1 e 10 e o Windows Server 2008, 2012, 2016 e 2019.

Publicações Relacionadas

Um invasor com uma máquina virtual do Azure pode explorar o bug de segurança enviando um pacote criado para o host Hyper-V. Isso poderia ter resultado no invasor executando código no host Hyper-V e potencialmente derrubando regiões inteiras da nuvem.

“Hyper-V é o hipervisor do Azure; por esse motivo, uma vulnerabilidade no Hyper-V envolve uma vulnerabilidade no Azure e pode afetar regiões inteiras da nuvem pública. Disparar a negação de serviço de uma VM do Azure travaria grandes partes da infraestrutura do Azure e derrubaria todas as máquinas virtuais que compartilham o mesmo host ”, de acordo com um relatório do Guardicore Labs .

Um invasor capaz de explorar a vulnerabilidade para obter a execução remota de código – uma cadeia de exploração mais complexa – pode assumir o controle do host e das VMs em execução nele, tendo acesso a informações confidenciais e podendo executar cargas maliciosas ou outras operações nefastas , dizem os pesquisadores de segurança.

O problema existe porque, ao processar solicitações de OID, o vmswitch não valida o valor da solicitação e pode cancelar a referência de um ponteiro inválido.

O Guardicore Labs diz que existem dois cenários de exploração, um em que um ponteiro inválido leva ao travamento do host Hyper-V e outro em que o kernel do host seria lido de um registro de dispositivo mapeado na memória, levando à execução do código.

“O que tornou esta vulnerabilidade tão letal é a combinação de um bug do hipervisor – uma desreferência arbitrária de ponteiro – com uma falha de design que permite um canal de comunicação muito permissivo entre o convidado e o host”, acrescentaram os pesquisadores.

você pode gostar também