DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Chi tiết lỗ hổng thực thi mã từ xa trong Hyper-V (CVE-2021-28476) được tiết lộ
Gần đây, các nhà nghiên cứu bảo mật tiết lộ chi tiết về một lỗ hổng nghiêm trọng trong Microsoft Hyper-V, với mã định danh CVE-2021-28476, có thể cho phép thực thi mã tùy ý.
Hai nhà nghiên cứu Peleg Hadar của SafeBreach và Ophir Harpaz của Guardicore tiết lộ chi tiết về một lỗ hổng nghiêm trọng trong Microsoft Hyper-V, được theo dõi là CVE-2021-28476, có thể cho phép kích hoạt tấn công từ chối dịch vụ có điều kiện hoặc thực thi mã tùy ý.
Lỗ hổng nằm trong trình điều khiển chuyển mạng Microsoft Hyper-V (vmswitch.sys) ảnh hưởng đến Windows 7/8.1/10 và Windows Server 2008/2012/2016/2019.
Lỗ hổng có mức độ nghiêm trọng cao với điểm số CVSS:3.0 là 9,9 trên 10, được Microsoft phát hành bản vá trong tháng 5.
Kẻ tấn công sử dụng máy ảo Azure có thể khai thác lỗi bảo mật bằng cách gửi một gói được chế tạo đặc biệt tới máy chủ Hyper-V. Điều này có thể dẫn đến việc kẻ tấn công chạy mã trên máy chủ Hyper-V và có khả năng kiếm soát toàn bộ các vùng của đám mây.
Guardicore Labs cho biết: "Hyper-V là công nghệ ảo hóa của Microsoft dựa trên nền tảng hypervisor của Azure; vì lý do này, một lỗ hổng trong Hyper-V có thể dẫn đến một lỗ hổng trong Azure và ảnh hưởng đến toàn bộ các khu vực của đám mây công cộng. Việc kích hoạt tấn công từ chối dịch vụ từ Azure VM sẽ làm hỏng các bộ phận chính trong cơ sở hạ tầng của Azure và phá hủy tất cả các máy ảo sử dụng chung một máy chủ."
Kẻ tấn công có khả năng khai thác lỗ hổng để thực thi mã từ xa có thể chiếm quyền kiểm soát máy chủ và các máy ảo đang chạy trên đó, do đó có quyền truy cập vào thông tin nhạy cảm và có thể chạy các mã độc hại hoặc thực hiện các hoạt động phá hoại khác. Tuy nhiên, các nhà nghiên cứu cho biết khai thác thực thi mã từ xa là khá phức tạp.
Lỗ hổng bắt nguồn khi xử lý các yêu cầu OID, vmswitch không xác thực giá trị của yêu cầu và có thể bỏ qua một con trỏ không hợp lệ.
Có hai khả năng để khai thác lỗ hổng này, một là lỗ hổng từ chối dịch vụ trong máy chủ Hyper-V do việc xử lý một con trỏ không hợp lệ, hai là lỗ hổng thực thi mã từ xa do nhân máy chủ Hyper-V đọc từ một thanh ghi thiết bị được ánh xạ bộ nhớ.
Bài nghiên cứu này sẽ được hai nhà nghiên cứu Harpaz và Hadar trình diễn tại hội nghị BlackHat USA 2021 vào ngày 4/8 tới.
Hai nhà nghiên cứu Peleg Hadar của SafeBreach và Ophir Harpaz của Guardicore tiết lộ chi tiết về một lỗ hổng nghiêm trọng trong Microsoft Hyper-V, được theo dõi là CVE-2021-28476, có thể cho phép kích hoạt tấn công từ chối dịch vụ có điều kiện hoặc thực thi mã tùy ý.
Lỗ hổng nằm trong trình điều khiển chuyển mạng Microsoft Hyper-V (vmswitch.sys) ảnh hưởng đến Windows 7/8.1/10 và Windows Server 2008/2012/2016/2019.
Lỗ hổng có mức độ nghiêm trọng cao với điểm số CVSS:3.0 là 9,9 trên 10, được Microsoft phát hành bản vá trong tháng 5.
Kẻ tấn công sử dụng máy ảo Azure có thể khai thác lỗi bảo mật bằng cách gửi một gói được chế tạo đặc biệt tới máy chủ Hyper-V. Điều này có thể dẫn đến việc kẻ tấn công chạy mã trên máy chủ Hyper-V và có khả năng kiếm soát toàn bộ các vùng của đám mây.
Guardicore Labs cho biết: "Hyper-V là công nghệ ảo hóa của Microsoft dựa trên nền tảng hypervisor của Azure; vì lý do này, một lỗ hổng trong Hyper-V có thể dẫn đến một lỗ hổng trong Azure và ảnh hưởng đến toàn bộ các khu vực của đám mây công cộng. Việc kích hoạt tấn công từ chối dịch vụ từ Azure VM sẽ làm hỏng các bộ phận chính trong cơ sở hạ tầng của Azure và phá hủy tất cả các máy ảo sử dụng chung một máy chủ."
Kẻ tấn công có khả năng khai thác lỗ hổng để thực thi mã từ xa có thể chiếm quyền kiểm soát máy chủ và các máy ảo đang chạy trên đó, do đó có quyền truy cập vào thông tin nhạy cảm và có thể chạy các mã độc hại hoặc thực hiện các hoạt động phá hoại khác. Tuy nhiên, các nhà nghiên cứu cho biết khai thác thực thi mã từ xa là khá phức tạp.
Lỗ hổng bắt nguồn khi xử lý các yêu cầu OID, vmswitch không xác thực giá trị của yêu cầu và có thể bỏ qua một con trỏ không hợp lệ.
Có hai khả năng để khai thác lỗ hổng này, một là lỗ hổng từ chối dịch vụ trong máy chủ Hyper-V do việc xử lý một con trỏ không hợp lệ, hai là lỗ hổng thực thi mã từ xa do nhân máy chủ Hyper-V đọc từ một thanh ghi thiết bị được ánh xạ bộ nhớ.
Bài nghiên cứu này sẽ được hai nhà nghiên cứu Harpaz và Hadar trình diễn tại hội nghị BlackHat USA 2021 vào ngày 4/8 tới.
Theo: securityweek, securityaffairs
Chỉnh sửa lần cuối bởi người điều hành: