A maggio scorso Microsoft ha risolto una pericolosa vulnerabilità scoperta nella soluzione per la virtualizzazione Hyper-V e in particolare nell’hypervisor, il componente che si occupa di presentare agli utenti le macchine virtuali e gestirne l’esecuzione in maniera del tutto separata rispetto al sistema ospitante (host).
Il problema di sicurezza contraddistinto dall’identificativo CVE-2021-28476 è però talmente grave che non è possibile non farne menzione, soprattutto perché può minacciare a lungo quelle aziende che non sono solite installare tempestivamente gli aggiornamenti mensili rilasciati da Microsoft.
Il bug in questione è stato valutato con una pericolosità di 9,9 punti su una scala di 10, è molto semplice da sfruttare per un eventuale aggressore e può essere utilizzato anche attraverso la rete senza necessitare di particolari privilegi. Lo conferma Microsoft stessa in questo bollettino.
Adesso che Microsoft ha risolto il problema i ricercatori che lo hanno scoperto, Peleg Hadar (SafeBreach) e Ophir Harpaz (Guardicore), hanno cominciato a pubblicare alcuni dettagli molto interessanti.
L’aspetto più importante è che un qualunque utente che ha accesso a una macchina virtuale gestita con Hyper-V può sfruttare la falla di sicurezza in questione per mandare in crash il sistema host oppure per eseguirvi codice arbitrario.
Si concretizza così ancora una volta il traguardo ambito dalla stragrande maggioranza dei criminali informatici: sfuggire ai confini della macchina virtuale ed eseguire codice potenzialmente dannoso sul sottostante sistema host.
Il problema è enorme: pensate a tutti coloro (provider e non solo) che offrono servizi cloud. In mancanza della patch un utente che utilizzasse una qualsiasi macchina virtuale può fare danni su vasta scala interessando le macchine virtuali degli altri clienti e lo stesso sistema host.
Il problema risiede nel driver vmswitch.sys
utilizzato da Hyper-V e presente in tutte le versioni di Windows Server da Windows Server 2012 in avanti oltre che in Windows 10: si tratta del componente software che sovrintende il funzionamento degli switch di rete virtuali.
I ricercatori spiegano che il driver non effettua una validazione delle richieste OID (object identifier) inviate allo switch virtuale e destinate a un adattatore di rete esterno o gestito da Hyper-V.
Inviando una richiesta appositamente confezionata un aggressore può mandare in crash l’host, interrompere il funzionamento delle macchine virtuali in esecuzione ed eseguire codice arbitrario.
Mentre la piattaforma Azure è al sicuro tante implementazioni di Hyper-V sono ad oggi ancora vulnerabili in quanto non tutti gli amministratori aggiornano le macchine Windows quando escono nuove patch. E visto che il problema CVE-2021-28476 è stato corretto solo a maggio 2021, quindi molto di recente, è assai probabile che siano tanti i sistemi non protetti quindi potenzialmente esposti ad attacchi.
Harpaz sottolinea che alcune vulnerabilità tendono a rimanere irrisolte per anni sui server aziendali. Facile prevede che un problema grave come quello descritto possa restare senza patch ancora per lungo tempo all’interno delle aziende.