Microsoft Hyper-V の深刻なバグを放置していませんか?

Critical Microsoft Hyper-V bug could haunt orgs for a long time

2021/07/28 BleepingComputer — Windows システムおよび Azure クラウド環境で仮想マシンを作成するための、Microsoft のネイティブ・ハイパーバイザーであるHyper-V に影響する脆弱性について、技術的な詳細が明らかになった。この脆弱性 CVE-2021-28476 の深刻度スコアは 9.9 であり、パッチが適用されていないマシンで悪用されると、ホストのクラッシュ (DoS) や、任意のコード実行につながり、壊滅的な影響を生じる可能性がある。

VM の停止か、制御の乗っ取りか

このバグは、Hyper-V のネットワーク・スイッチ・ドライバー (vmswitch.sys) に存在し、2019年までに出荷された Windows 10 および Windows Server 2012 に影響する。2019年8月のビルドで出現し、2021年5月にパッチが適用されている。現時点で、この欠陥に関する詳細情報が少ないが、SafeBreach の Peleg Hadar と Guardicore の Ophir Harpaz が、きょうのブログ記事で、どこに障害があり、なぜ悪用が可能なのかを説明している。

この2人の研究者は共同で、上記のを発見し、Microsoft に対して非公開で開示した。この欠陥は、Hyper-V の仮想スイッチ (vmswitch) が、ネットワーク・アダプター (外部または vmswitch に接続されている) を対象とした、OID (オブジェクト識別子) 要求の値を検証しないことに起因する。OID リクエストには、ハードウェア・オフロードや、IPsec (Internet Protocol security)、SR-IOV (single root I/O virtualization) などのリクエストが含まれる。Peleg Hadar は、「OID リクエストの処理中に、vmswitch はロギングとデバッグの目的で、その内容をトレースする。それは OID_SWITCH_NIC_REQUEST にも適用される。ただし、カプセル化された構造のため、vmswitch は対象となるリクエストを特別なかたちで処理し、内部リクエストをトレースするために、OidRequest を逆参照する必要がある。

このバグは、vmswitch が OidRequest の値を検証しないため、無効なポインタを参照してしまうというものだ」と説明している。この脆弱性を悪用する攻撃者は、ゲスト用の仮想マシン (VM) にアクセスし、特別に細工したパケットを Hyper-V ホストに送信する必要がある。その結果、ホストがクラッシュし、その上で動作している全ての VM が停止する可能性がある。また、ホスト上でリモート・コードが実行され、ホストと接続されている VM の制御を奪われる可能性もある。

組織内で放置されているパッチが多い

この脆弱性は、Azure サービス上では問題を引き起こさないが、ローカルの Hyper-V環境にパッチが提供されたときに、すべての管理者が Windows マシンを更新しているとは限らないため、脆弱性が残っている可能性がある。Guardicore の Ophir Harpaz は BleepingComputer に対し、企業ネットワーク内のマシンに、何年もパッチが適用されないため、このような脆弱性が残っているという問題に、よく遭遇すると述べている。代表的な例としては、2017年4月に発覚した EternalBlue の件がある。その1カ月前にパッチが適用されたが、破壊的なサイバー攻撃者である WannaCry や NotPetya に悪用されてしまった。

Ophir Harpaz は、「今日、既知であるはずの有名なバグに対して、脆弱なままでいる Windows Server が非常に多い。したがって、このバグが組織内で、長期間に渡ってパッチが適用されず、放置されていたとしても私は驚かないだろう」と述べている。Harpaz と Hadar は、8月4日に開催される Black Hat セキュリティ・カンファレンスで、hAFL1 と呼ばれる社内ファジング・プログラムを用いて、この脆弱性を発見した方法についてプレゼンテーションを行う予定だ。

エンタープライズでは、どれだけ動いているのかと、数えるだけでも気の遠くなる Windows 10 です。そこに、こんなバグが潜んでいても、なかなかパッチを当てきれないという、どこも同じような状況だと思います。最近、このような、以前から分かっているオンプレ脆弱性を FIX しましょうという記事が多いように思えます。似たようなものとしては、「米政府機関の Windows PrintSpooler バグを FIX するために CISA が緊急指令を発動」が有りましたし、ちょっと変わり種としては「HP / Xerox / Samsung のプリンタ・ドライバで 16年前からの脆弱性が見つかる」というのも有りました。まぁ、とにかく、気を付けましょうね。

%d bloggers like this: