[하루한줄] CVE-2021-28476: Microsoft Hyper-V의 Guest-to-Host RCE 취약점

URL

CVE-2021-28476: a guest-to-host “Microsoft Hyper-V Remote Code Execution Vulnerability” in vmswitch.sys.

Target

  • Microsoft Hyper-V

Explain

Microsoft의 하이퍼바이저 기반 가상화 시스템인 Hyper-V에서 게스트 머신이 호스트 머신으로 escape 해 원격 코드 실행이 가능한 취약점이 발견되어 세부 정보가 공개되었습니다.

취약점은 호스트 머신의 vmswitch.sys 드라이버에 존재합니다. vmswitch.sys는 가상 파티션이 존재하는 시스템에서 파티션 간 통신에 사용되는 채널 기반 통신 메커니즘인 VMBus 기능을 지원합니다. vmswitch.sysVmsIfrInfoParams_OID_SWITCH_NIC_REQUEST 함수에서는 원격 NDIS(RNDIS) 요청을 처리하는데, 게스트 머신에서 악성 RNDIS 요청을 보내 해커가 제어하는 데이터로 호출이 가능하고 이를 이용해 호스트 머신이 게스트 머신의 포인터를 역참조 하도록 합니다.

해커는 Hyper-V에 Ubuntu focal 게스트 머신을 생성한 뒤 해당 취약점을 악용해 원격 코드 실행을 트리거할 수 있습니다.