Проблема может быть проэксплуатирована для удаленного выполнения кода или вызова состояния «отказа в обслуживании».
https://www.securitylab.ru/upload/ib...737fac5642.jpg
Исследователи в области кибербезопасности из компании Guardicore Labs опубликовали подробности о критической уязвимости в гипервизоре Hyper-V, которую Microsoft исправила в мае 2021 года.
Уязвимость ( CVE-2021-28476 ) получила оценку в 9,9 балла по шкале CVSS и затрагивает драйвер виртуального сетевого коммутатора Hyper-V (vmswitch.sys). Проблема может быть проэксплуатирована для удаленного выполнения кода или вызова состояния «отказа в обслуживании».
Уязвимость затрагивает версии Windows 7, 8.1 и 10, а также Windows Server 2008, 2012, 2016 и 2019. Злоумышленник с виртуальной машиной Azure может проэксплуатировать уязвимость путем отправки специально созданного пакет на узел Hyper-V.
«Вызов состояния «отказа в обслуживании» виртуальной машины Microsoft Azure приведет к сбою основных частей инфраструктуры Azure и отключению всех виртуальных машин, которые используют одну и ту же компьютерную систему», — пояснили эксперты.
Злоумышленник, способный проэксплуатировать RCE-уязвимость, может перехватить контроль над системой и запущенными на ней виртуальными машинами, получив таким образом доступ к конфиденциальной информации и возможность запускать вредоносные полезные нагрузки.
Проблема связана с тем, что при обработке OID-запросов vmswitch не проверяет значение запроса и может разыменовать недопустимый указатель.
По словам исследователей, существует два сценария атаки: когда недействительный указатель приводит к сбою хоста Hyper-V или когда ядро ​​хоста будет читать из регистра устройства, отображаемого в памяти, что приведет к удаленному выполнению кода.