Chi tiết lỗ hổng thực thi mã từ xa trong Hyper-V (CVE-2021-28476) được tiết lộ

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi DDos, 30/07/21, 09:07 AM.

  1. DDos

    DDos Administrators Thành viên BQT

    Tham gia: 22/10/13, 08:10 PM
    Bài viết: 2,016
    Đã được thích: 485
    Điểm thành tích:
    83
    Gần đây, các nhà nghiên cứu bảo mật tiết lộ chi tiết về một lỗ hổng nghiêm trọng trong Microsoft Hyper-V, với mã định danh CVE-2021-28476, có thể cho phép thực thi mã tùy ý.

    Hai nhà nghiên cứu Peleg Hadar của SafeBreach và Ophir Harpaz của Guardicore tiết lộ chi tiết về một lỗ hổng nghiêm trọng trong Microsoft Hyper-V, được theo dõi là CVE-2021-28476, có thể cho phép kích hoạt tấn công từ chối dịch vụ có điều kiện hoặc thực thi mã tùy ý.

    Hyper-V-Logo.png

    Lỗ hổng nằm trong trình điều khiển chuyển mạng Microsoft Hyper-V (vmswitch.sys) ảnh hưởng đến Windows 7/8.1/10 và Windows Server 2008/2012/2016/2019.

    Lỗ hổng có mức độ nghiêm trọng cao với điểm số CVSS:3.0 là 9,9 trên 10, được Microsoft phát hành bản vá trong tháng 5.

    Kẻ tấn công sử dụng máy ảo Azure có thể khai thác lỗi bảo mật bằng cách gửi một gói được chế tạo đặc biệt tới máy chủ Hyper-V. Điều này có thể dẫn đến việc kẻ tấn công chạy mã trên máy chủ Hyper-V và có khả năng kiếm soát toàn bộ các vùng của đám mây.

    Guardicore Labs cho biết: "Hyper-V là công nghệ ảo hóa của Microsoft dựa trên nền tảng hypervisor của Azure; vì lý do này, một lỗ hổng trong Hyper-V có thể dẫn đến một lỗ hổng trong Azure và ảnh hưởng đến toàn bộ các khu vực của đám mây công cộng. Việc kích hoạt tấn công từ chối dịch vụ từ Azure VM sẽ làm hỏng các bộ phận chính trong cơ sở hạ tầng của Azure và phá hủy tất cả các máy ảo sử dụng chung một máy chủ."

    Kẻ tấn công có khả năng khai thác lỗ hổng để thực thi mã từ xa có thể chiếm quyền kiểm soát máy chủ và các máy ảo đang chạy trên đó, do đó có quyền truy cập vào thông tin nhạy cảm và có thể chạy các mã độc hại hoặc thực hiện các hoạt động phá hoại khác. Tuy nhiên, các nhà nghiên cứu cho biết khai thác thực thi mã từ xa là khá phức tạp.

    Lỗ hổng bắt nguồn khi xử lý các yêu cầu OID, vmswitch không xác thực giá trị của yêu cầu và có thể bỏ qua một con trỏ không hợp lệ.

    Có hai khả năng để khai thác lỗ hổng này, một là lỗ hổng từ chối dịch vụ trong máy chủ Hyper-V do việc xử lý một con trỏ không hợp lệ, hai là lỗ hổng thực thi mã từ xa do nhân máy chủ Hyper-V đọc từ một thanh ghi thiết bị được ánh xạ bộ nhớ.

    Bài nghiên cứu này sẽ được hai nhà nghiên cứu Harpaz và Hadar trình diễn tại hội nghị BlackHat USA 2021 vào ngày 4/8 tới.
     
    Last edited by a moderator: 30/07/21, 03:07 PM
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  1. WhiteHat News #ID:3333
  2. WhiteHat Team
  3. WhiteHat Team
  4. Ginny Hà
  5. Sugi_b3o