Falha no HYPER-V permite ataque devastador ao Azure

30/07/2021 mindsecblog Notícias 2

Falha no HYPER-V permite ataque devastador ao Azure. A Microsoft distribuiu patch em maio, mas sistemas desatualizados continuam expostos.

O Guardicore Labs, em colaboração com o SafeBreach Labs, encontrou uma vulnerabilidade crítica no driver de switch de rede virtual do Hyper-V, o hipervisor nativo da Microsoft para a criação de máquinas virtuais em sistemas Windows e no ambiente de computação em nuvem Azure. Essa vulnerabilidade, possibilita a uma máquina virtual do Azure, a nuvem pública da Microsoft, derrubar regiões inteiras dessa nuvem bem como executar código arbitrário no host Hyper-V.

A vulnerabilidade foi encontrada por Ophir Harpaz, da Guardicore, e Peleg Hadar, da SafeBreach, usando um fuzzer que desenvolveram especialmente para a pesquisa de vulnerabilidades em Hyper-V, denominado hAFL1. Eles irão apresentar esse fuzzer e todo o seu processo de pesquisa em palestra Black Hat USA 2021, na quarta-feira, dia 4 de agosto.

O bug, que reside no driver de switch de rede Hyper-V (vmswitch.sys) apareceu pela primeira vez em agosto de 2019 e afetou os sistemas operacionais Windows 7, 8.1 e 10, além do Windows Server 2008, 2012, 2016 e 2019. Hoje conhecida como CVE-2021-28476, a vulnerabilidade tem uma pontuação de gravidade crítica de 9,9 sobre 10 na escala do sistema de pontuação comum de vulnerabilidades (CVSS). O alerta da Guardicore/ SafeBreach se deu em fevereiro, e a Microsoft lançou patch para ela em maio.

Hyper-V é o hipervisor do Azure; por esse motivo, uma vulnerabilidade no Hyper-V envolve uma vulnerabilidade no Azure e pode afetar regiões inteiras da nuvem pública. O disparo da negação de serviço de uma VM do Azure travaria grandes partes da infraestrutura do Azure e derrubaria todas as máquinas virtuais que compartilham o mesmo host.

Com uma cadeia de exploração mais complexa, a vulnerabilidade pode conceder ao invasor recursos de execução remota de código. Isso, por sua vez, torna o invasor onipotente; com controle sobre o host e todas as VMs em execução nele, o invasor pode acessar informações pessoais armazenadas nessas máquinas, executar cargas maliciosas, etc. Por isto, em implementações não-atualizadas, as consequências dessa vulnerabilidade podem ser devastadores, já que ela permite travar o host (DoS – Denial of Service, ou negação de serviço) ou executar nele códigos maliciosos.

Vulnerabilidade Hyper-V CVE-2021-28476

A vulnerabilidade está em vmswitch.sys – driver de alternância de rede do Hyper-V. Ele é acionado pelo envio de um pacote especialmente criado de uma máquina virtual convidada para o host Hyper-V e pode ser explorado para obter DoS e RCE.

Hyper-V é a tecnologia de virtualização da Microsoft integrada ao Windows Server (e também aos clientes começando com o Windows 8). A vulnerabilidade CVE-2021-28476 no módulo Hyper-V vmswitch.sys permite a execução remota de código do sistema operacional convidado no host. A Microsoft descreveu a vulnerabilidade assim:

“Esse problema permite que uma VM convidada force o kernel do host Hyper-V a ler de um endereço arbitrário potencialmente inválido. O conteúdo do endereço de leitura não seria devolvido à VM convidada. Na maioria das circunstâncias, isso resultaria em uma negação de serviço do host Hyper-V (verificação de bug, ou seja, tela azul) devido à leitura de um endereço não atribuído. No entanto, é possível ler de um registro de dispositivo mapeado na memória que corresponde a um dispositivo de hardware conectado ao host Hyper-V, o que pode disparar efeitos colaterais específicos do dispositivo de hardware adicionais que podem comprometer a segurança do host Hyper-V.”

A vulnerabilidade recebeu uma pontuação CVSS de 8,6, e a Microsoft lançou atualizações de segurança para clientes Windows do Windows 7 SP1 para o Windows 10 versão 1607 e do Windows Server 2008 R2 para o Windows Server 2016, a partir de 11 de maio de 2021.

Detalhes podem ser encontrados no Github – os administradores devem instalar as atualizações de segurança de maio de 2021 nas máquinas afetadas, caso ainda não tenham feito isso.

Conclusão

O que tornou essa vulnerabilidade tão letal é a combinação de um bug do hipervisor – uma desreferência arbitrária de ponteiro – com uma falha de design que permite um canal de comunicação muito permissivo entre o convidado e o host.
Vulnerabilidades como CVE-2021-28476 demonstram os riscos que um modelo de recurso compartilhado (por exemplo, uma nuvem pública) traz. Na verdade, em casos de infraestruturas compartilhadas, até mesmo bugs simples podem levar a resultados devastadores, como negação de serviço e execução remota de código.
Vulnerabilidades em software são inevitáveis, e essa declaração também se aplica à infraestrutura de nuvem pública. Isso reforça a importância de uma estratégia de nuvem híbrida, que não coloque todos os ovos em uma cesta (ou todas as instâncias em uma região). Tal abordagem facilitará a recuperação de cenários de ataque DoS e a segmentação adequada impedirá o comprometimento total no caso de uma aquisição de região.

Clique aqui para ver a análise completa que a Guardicore fez do problema.