이제 Windows 시스템 및 Azure 클라우드 컴퓨팅 환경에서 가상머신을 생성하기 위한 Microsoft의 기본 하이퍼바이저인 Hyper-V에 영향을 미치는 취약점에 대한 기술 세부 정보를 사용할 수 있다.

현재 CVE-2021-28476으로 추적되는 보안 문제의 심각도 점수는 10점 만점에 9.9점이다. 패치가 적용되지 않은 시스템에서 이를 악용하면 호스트 충돌(서비스 거부)을 허용하거나 호스트에서 임의 코드를 실행할 수 있으므로 치명적인 영향을 미칠 수 있다.

이 버그는 Hyper-V의 네트워크 스위치 드라이버(vmswitch.sys)에 있으며 Windows 10 및 Windows Server 2012 ~ 2019에 영향을 미친다. 해당 취약점은 2019년 8월 빌드에서 나타났고, 올해 5월에 패치를 받았다.

현재로서는 이 결함에 대한 공개 세부 정보가 부족하지만 오늘 블로그 게시물에서 SafeBreach의 연구원 Peleg Hadar와 Guardicore의 Ophir Harpaz는 결함의 위치와 악용 가능한 이유를 설명했다. 두 연구원은 함께 버그를 찾아 Microsoft에 비공개로 전했다.

이 결함은 Hyper-V의 가상 스위치(vmswitch)가 네트워크 어댑터(외부 또는 vmswitch에 연결됨)를 위한 OID(개체 식별자) 요청 값의 유효성을 검사하지 않는다는 사실에서 비롯된다. OID 요청에는 하드웨어 오프로딩, IPsec(인터넷 프로토콜 보안) 및 SR-IOV(단일 루트 I/O 가상화) 요청이 포함될 수 있다.

공격자는 게스트 VM(가상 머신)에 액세스하고 Hyper-V 호스트에 특수하게 조작된 패킷을 보내야 이 취약점을 성공적으로 악용할 수 있다. 그 결과 호스트가 충돌하고 호스트 위에서 실행 중인 모든 VM이 종료되거나 호스트와 연결된 VM에 대한 완전한 제어를 제공하는 호스트에서 원격 코드 실행이 가능하다.

출처

https://www.bleepingcomputer.com/news/security/critical-microsoft-hyper-v-bug-could-haunt-orgs-for-a-long-time/