Absturz großer Teile der Azure-Infrastruktur
Black Hat USA 2021: Hyper-V-Sicherheitslücke gefährdet ganze Cloud-Regionen
Guardicore-Sicherheitsforscherin Ophir Harpaz berichtete auf der IT-Sicherheitskonferenz "Black Hat USA 2021" über Angriffsszenario auf Microsoft Azure
Guardicore, Spezialistin für Rechenzentrums- und Cloud-Sicherheit, hat eine kritische Anfälligkeit in Hyper-V entdeckt und zur Behebung der Zero-Day-Sicherheitslücke beigetragen. Auf der IT-Sicherheitskonferenz "Black Hat USA 2021" berichteten Guardicores Sicherheitsforscherin Ophir Harpaz und Peleg Hadar von SafeBreach Labs in einem 40-minütigen Fachvortrag detailliert über dieses Angriffsszenario auf Microsoft Azure. Die kritische Hyper-V-Schwachstelle mit einem sehr hohen CVSS Score von 9.9 erlaubt es Angreifern, Remote Code auf Azure und DoS-Attacken (Denial of Service) auszuführen.
Der Fehler betrifft den Netzwerk-Switch-Treiber von Hyper-V "vmswitch" und kann durch den Versand eines entsprechend gestalteten Pakets über eine Gast-VM für DoS- and RCE-Angriffe ausgelöst werden. Die Sicherheitsforscher schreiben in einem Blogbeitrag, dass die Schwachstelle erstmals im August 2019 bekannt wurde. Folglich hätten Angreifer die Anfälligkeit eineinhalb Jahre lang aktiv ausnutzen können, bis der Fehler dann entdeckt und gepatcht wurde.
"Hyper-V ist Azures Hypervisor. Deshalb wirkt sich eine Schwachstelle in Hyper-V direkt auf Azure aus und kann ganze Public-Cloud-Regionen gefährden. Das Auslösen von Denial-of-Service-Angriffen über eine Virtual Machine würde zum Absturz großer Teile der Azure-Infrastruktur führen und alle virtuelle Maschinen des gleichen Hosts außer Betrieb setzen." schreiben die Sicherheitsforscher in einem gemeinsamen Blogbeitrag.
Die kritische Hyper-V-Schwachstelle (CVE-2021-28476) wurde Microsoft von Ophir Harpaz (Guardicore Labs) und Peleg Hadar (SafeBreach Labs) Ende März 2021 gemeldet. Microsoft lieferte Anfang Mai einen Patch aus. Die Sicherheitslücke gefährdet Windows 7, 8.1 und 10 sowie Windows Server 2008, 2012, 2016 und 2019. (Guardicore: ra)
eingetragen: 03.09.21
Newsletterlauf: 22.10.21
Guardicore: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.