Os pesquisadores de segurança Ophir Harpaz, da Guardicore, e Peleg Hadar, da SafeBreach, anunciaram ontem na BlackHat USA, em Las Vegas, a publicação de uma ferramenta destinada a localizar vulnerabilidades no Hyper-V, o hipervisor da Microsoft. Uma semana atrás, os dois pesquisadores publicaram um artigo revelando a descoberta de uma vulnerabilidade com CVE de 9,9 no Hyper-V, que permite aos atacantes explorar máquinas na Azure, a nuvem da Microsoft – a vulnerabilidade permite derrubar regiões inteiras do Azure, bem como executar código arbitrário no host Hyper-V.
Veja isso
Bug no Hyper-V dá a invasor o controle de máquinas virtuais
Microsoft Teams e portal do Azure falharam autenticação durante 14h
A ferramenta se chama hAFL1 e já está publicada para a comunidade de segurança no GitHub (hxxps://github.com/SB-GC-Labs/hAFL1). O fuzzer pesquisa possíveis vulnerabilidades do Hyper-V, já que qualquer falha de segurança no hipervisor tem um impacto muito amplo, afetando potencialmente muitas máquinas virtuais, acrescenta a assessoria de imprensa da Guardicore.
Fuzzers são importantes na pesquisa de vulnerabilidades, explicam os autores, “pois automatizam o processo de descoberta de bug alimentando rapidamente um alvo com inúmeras entradas (…) Fuzzers sofisticados foram desenvolvidos e usados para encontrar vulnerabilidades críticas em todos os tipos de software”.
Eles acrescentam que “o hAFL1 é uma infraestrutura de difusão baseada em kAFL para dispositivos Hyper-V, da qual o vmswitch (onde fica a vulnerabilidade) é um caso particular. A nova abordagem do hAFL1 é que ele envia entradas de fuzzing no nível do host. Ele imita uma partição ‘filho’ inicializando as estruturas de dados necessárias em vmswitch e enviando entradas para o destino como se fosse por VMBus. Ao fazer isso, o hAFL1 aproveita o Intel-PT para obter feedback de cobertura. O hAFL1 permite fuzzing com reconhecimento de estrutura de pacotes RNDIS e também fornece relatórios detalhados de travamento”.
Com informações da assessoria de imprensa