Pesquisadores de segurança da Guardicore Labs, em colaboração com SafeBreach Labs, encontraram uma vulnerabilidade crítica no driver de switch de rede virtual do Hyper-V, o hipervisor nativo da Microsoft para a criação de máquinas virtuais em sistemas Windows, e na plataforma de nuvem do Azure.
A vulnerabilidade está no vmswitch.sys, o driver de switch de rede do Hyper-V. Ele é acionado pelo envio de um pacote especialmente criado de uma máquina virtual convidada para o host Hyper-V e pode ser explorado para ataques de negação de serviço (DoS) e execução remota de código (RCE).
Identificada como CVE-2021-28476, a falha recebeu pontuação de 9,9/10 na escala do sistema de pontuação comum de vulnerabilidades (CVSS) e sua exploração pode ser crítica para sistemas desatualizados.
A falha de segurança apareceu pela primeira vez em uma compilação de agosto de 2019, sugerindo que o bug estava em produção por mais de um ano e meio. Afetou o Windows 7, 8.1 e 10 e o Windows Server 2008, 2012, 2016 e 2019.
Por ser o hipervisor do Azure, uma vulnerabilidade no Hyper-V envolve uma vulnerabilidade no Azure e pode afetar regiões inteiras da nuvem pública. O disparo da negação de serviço de uma máquina virtual do Azure travaria partes importantes da infraestrutura do Azure e derrubaria todas as máquinas virtuais que compartilham o mesmo host.
A falha reside no switch de rede Hyper-V e afeta as implantações do Windows 10 e Windows Server 2012-2019. A vulnerabilidade foi introduzida com o lançamento de uma compilação de código lançada em agosto de 2019 e corrigida em maio deste ano.
Embora até recentemente os principais detalhes sobre essa falha fossem desconhecidos, a investigação dos especialistas revelou detalhes da detecção da vulnerabilidade e do risco de exploração. Este relatório foi enviado à Microsoft. Eles afirmam que a vulnerabilidade existe porque o switch virtual não valida corretamente o valor de uma solicitação de identificação de objeto (OID) direcionada a um adaptador de rede. As solicitações de OID podem incluir descarregamento de hardware, IPsec e solicitações de virtualização de E/S de raiz única.
Veja isso
Com Windows 365, Microsoft leva PCs para nuvem
Microsoft encerra projeto de SQL em contêiner Windows
Os operadores da ameaça que tentam explorar esta vulnerabilidade devem obter acesso a uma máquina virtual convidada e enviar um pacote especialmente criado para o host Hyper-V. Como resultado, o bloqueio do host e o encerramento de todas as máquinas virtuais em execução podem ocorrer, bem como a execução remota de código no host.
Embora o serviço do Azure não tenha sido afetado, algumas implantações locais do Hyper-V provavelmente permanecerão expostas, já que nem todos os administradores atualizam as máquinas Windows com base no lançamento de patches da Microsoft. Um exemplo desses riscos de segurança é a vulnerabilidade identificada como EternalBlue, corrigida em abril de 2017, mas a partir da qual casos de exploração continuam a ser vistos.