Guardicore e Safe Breach divulga fuzzer desenvolvido para detectar vulnerabilidades no Hyper-V

05/08/2021 mindsecblog Notícias 3

Guardicore e Safe Breach divulga fuzzer desenvolvido para detectar vulnerabilidades no Hyper-V.

Ontem, 04 de agosto, no BlackHat USA, em Las Vegas a Guardicore e SafeBreach divulgaram detalhes do fuzzer, que chamaram de hAFL1, e o abriram para a comunidade de segurança, com detalhes neste repositório, encorajando os profissionais a entrarem em contato em caso de dúvida. O fuzzer foi desenvolvido por Ophir Harpaz, da Guardicore, e Peleg Hadar, da SafeBreach, para pesquisar automaticamente possíveis vulnerabilidades do Hyper-V (o hipervisor nativo da Microsoft para a criação de máquinas virtuais em sistemas Windows), uma vez que nuvens públicas são baseadas em infraestruturas compartilhadas, o que significa que qualquer falha de segurança no hipervisor tem um impacto muito amplo, afetando potencialmente muitas máquinas virtuais. Com esse fuzzer, foi detectada uma vulnerabilidade no driver de switch de rede virtual do Hyper-V, capaz de derrubar regiões inteiras do Azure, bem como executar código arbitrário no host Hyper-V.

Você encontra neste link – https://www.guardicore.com/labs/hafl1-our-journey-of-fuzzing-hyper-v-and-discovering-a-critical-0-day/o conteúdo (em inglês) do trabalho apresentando ontem no Black Hat.

O Guardicore Labs, em colaboração com o SafeBreach Labs, encontrou uma vulnerabilidade crítica no driver de switch de rede virtual do Hyper-V, o hipervisor nativo da Microsoft para a criação de máquinas virtuais em sistemas Windows e no ambiente de computação em nuvem Azure. Essa vulnerabilidade, possibilita a uma máquina virtual do Azure, a nuvem pública da Microsoft, derrubar regiões inteiras dessa nuvem bem como executar código arbitrário no host Hyper-V.

A vulnerabilidade foi encontrada por Ophir Harpaz, da Guardicore, e Peleg Hadar, da SafeBreach, usando um fuzzer que desenvolveram especialmente para a pesquisa de vulnerabilidades em Hyper-V, denominado hAFL1. Eles irão apresentar esse fuzzer e todo o seu processo de pesquisa em palestra Black Hat USA 2021, na quarta-feira, dia 4 de agosto.

O bug, que reside no driver de switch de rede Hyper-V (vmswitch.sys) apareceu pela primeira vez em agosto de 2019 e afetou os sistemas operacionais Windows 7, 8.1 e 10, além do Windows Server 2008, 2012, 2016 e 2019. Hoje conhecida como CVE-2021-28476, a vulnerabilidade tem uma pontuação de gravidade crítica de 9,9 sobre 10 na escala do sistema de pontuação comum de vulnerabilidades (CVSS). O alerta da Guardicore/ SafeBreach se deu em fevereiro, e a Microsoft lançou patch para ela em maio.

Com uma cadeia de exploração mais complexa, a vulnerabilidade pode conceder ao invasor recursos de execução remota de código. Isso, por sua vez, torna o invasor onipotente; com controle sobre o host e todas as VMs em execução nele, o invasor pode acessar informações pessoais armazenadas nessas máquinas, executar cargas maliciosas, etc. Por isto, em implementações não-atualizadas, as consequências dessa vulnerabilidade podem ser devastadores, já que ela permite travar o host (DoS – Denial of Service, ou negação de serviço) ou executar nele códigos maliciosos.