微软本地管理程序Hyper-V曝出存在9.9分高危漏洞

  • A+
所属分类:安全漏洞

更多全球网络安全资讯尽在邑安全

微软本地管理程序Hyper-V曝出存在9.9分高危漏洞

现已提供影响 Hyper-V 的漏洞的技术详细信息,Hyper-V 是 Microsoft 用于在 Windows 系统和 Azure 云计算环境中创建虚拟机的本机管理程序。

目前被追踪为 CVE-2021-28476,该安全问题的严重性评分为 9.9 分(满分 10 分)。在未打补丁的机器上利用它可能会产生毁灭性的影响,因为它会导致主机崩溃(拒绝服务)或在其上执行任意代码.

终止虚拟机或完全控制

该漏洞存在于 Hyper-V 的网络交换机驱动程序 ( vmswitch.sys ) 中,影响到 Windows 10 和 Windows Server 2012 到 2019 年。它出现在 2019 年 8 月的构建版本中,并今年 5 月早些时候收到了补丁。

目前关于该漏洞的公开细节很少,但在今天的一篇博客文章中,SafeBreach 的研究人员Peleg Hadar和 Guardicore 的Ophir  Harpaz 解释了错误在哪里以及为什么它可以被利用。两位研究人员一起发现了这个漏洞,并私下向微软披露。

该缺陷源于以下事实:Hyper-V 的虚拟交换机 ( vmswitch ) 未验证用于网络适配器(外部或连接到vmswitch)的 OID(对象标识符)请求的值。

OID 请求可以包括硬件卸载、互联网协议安全 (IPsec) 和单根 I/O 虚拟化 (SR-IOV) 请求。

“在处理 OID 请求时,vmswitch 会跟踪其内容以进行日志记录和调试;这也适用于 OID_SWITCH_NIC_REQUEST。但是,由于其封装结构,vmswitch 需要对此请求进行特殊处理并取消引用 OidRequest 以跟踪内部请求。错误在于 vmswitch 从不验证 OidRequest 的值,因此可以取消对无效指针的引用,” Harpaz 解释说

成功利用此漏洞的攻击者需要访问来宾虚拟机 (VM) 并将特制数据包发送到 Hyper-V 主机。

结果可能是主机崩溃 - 并终止在其上运行的所有虚拟机,或者在主机上获得远程代码执行,从而完全控制它和附加的虚拟机。

组织修补速度缓慢

虽然 Azure 服务可以避免此问题,但一些本地 Hyper-V 部署可能仍然容易受到攻击,因为并非所有管理员都会在补丁发布时更新 Windows 计算机。

Harpaz 告诉 BleepingComputer,Guardicore 经常遇到企业网络中机器上多年未修补的漏洞。

最常见的例子之一是 EternalBlue,它于 2017 年 4 月为人所知——一个月前修补并利用了破坏性的 WannaCry 和 NotPetya 网络攻击。

“今天有太多的 Windows 服务器容易受到众所周知的错误的影响,如果这个错误在组织中长时间未修补,我不会感到惊讶” - Ophir Harpaz

Harpaz 和 Hadar 计划于 8 月 4 日在黑帽安全会议上发表演讲,介绍他们的研究以及如何使用名为 hAFL1 的内部模糊测试程序发现漏洞。

原文来自: bleepingcomputer.com

原文链接: https://www.bleepingcomputer.com/news/security/critical-microsoft-hyper-v-bug-could-haunt-orgs-for-a-long-time/

欢迎收藏并分享朋友圈,让五邑人网络更安全

微软本地管理程序Hyper-V曝出存在9.9分高危漏洞

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



本文始发于微信公众号(邑安全):微软本地管理程序Hyper-V曝出存在9.9分高危漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: