Analitycy z firmy Guardicore wykryli poważną lukę w zabezpieczeniach Hyper-V, drugim pod względem popularności oprogramowaniu do tworzenia maszyn wirtualnych. Jak się okazuje, cyberprzestępcy mogą wykorzystać podatność do unieruchomienia wszystkich maszyn wirtualnych pracujących pod kontrolą tego oprogramowania.
Wykryta przez specjalistów Guardicore luka, której przypisano symbol CVE-2021-28476, w klasie CVSS otrzymała ocenę 9.5, co oznacza, że ma status krytyczny. Wykorzystanie podatności na niezałatanych maszynach może mieć druzgocący wpływ na działanie całego systemu, bowiem umożliwia unieruchomienie hosta lub wykonanie na nim dowolnego kodu, zaznaczają specjaliści. Błąd występuje w sterowniku przełącznika sieciowego Hyper-V (vmswitch.sys) i dotyczy Windows 10 i Windows Server 2012 do 2019. Luka pojawiła się w kompilacji z sierpnia 2019 i otrzymał łatkę w maju bieżącego roku.
Jak wskazują analitycy, wada polega na tym, iż przełącznik wirtualny Hyper-V nie weryfikuje wartości żądania OID (identyfikator obiektu) przeznaczonego dla karty sieciowej. Napastnik, który skutecznie wykorzysta tę lukę, musi mieć dostęp do maszyny wirtualnej gościa, a następnie wysłać specjalnie spreparowany pakiet do hosta funkcji Hyper-V. Rezultatem może być albo awaria hosta – i zamknięcie wszystkich działających na nim maszyn wirtualnych, albo możliwość zdalnego wykonania kodu na hoście, co daje pełną kontrolę nad nim i podłączonymi „wirtualkami”.
“Wprawdzie Microsoft wydał aktualizację do luki CVE-2021-28476, aczkolwiek nie wszyscy administratorzy uaktualniają urządzenia zaraz po wydaniu poprawek. Niestety, nadal spotykamy się z nieuaktualnianymi nawet przez kilka lat systemami pracującymi w sieciach korporacyjnych. Często prowadzi to do poważnych komplikacji. Najbardziej spektakularnym przykładem jest luka zabezpieczeń EternalBlue wykorzystana przy atakach WannaCry i NotPetya” – skomentował Dariusz Woźniak z firmy Marken, dystrybutora rozwiązań Bitdefender w Polsce.
Przypomnijmy, że hiperwizor Microsftu znajduje szerokie zastosowanie zarówno w środowisku lokalnym Windows, jak i chmury obliczeniowej Azure. Warto jednak podkreślić, że podatne na ataki są jedynie lokalne wdrożenia bazujące na Hyper-V, zaś problem nie dotyczy platformy Azure.
