CVE-2020-1040

Microsoft Hyper-V RemoteFX

ВЕРОЯТНОСТЬ 0.2%
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Hyper-V RemoteFX vGPU contains an improper input validation vulnerability due to the host server failing to properly validate input from an authenticated user on a guest operating system. Successful exploitation allows for remote code execution on the host operating system.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2020-1040) в компоненте RemoteFX vGPU для Hyper-V позволяет аутентифицированному пользователю на гостевой виртуальной машине отправить специально созданные вредоносные данные на хост-сервер. Из-за недостаточной проверки этих данных на стороне хоста, злоумышленник может выполнить произвольный код в контексте безопасности хостовой операционной системы, что ведет к полной компрометации гипервизора.

Как исправить

Установите обновления безопасности от Microsoft, устраняющие эту уязвимость. Конкретные номера обновлений зависят от вашей версии Windows Server:

  • Windows Server 2019: Установите накопительное обновление от июля 2020 года или новее. Конкретно для этой уязвимости — обновление KB4565349.
  • Windows Server 2016: Установите накопительное обновление от июля 2020 года или новее. Конкретно для этой уязвимости — обновление KB4565511.
  • Windows Server 2012 R2: Установите накопительное обновление от июля 2020 года или новее. Конкретно для этой уязвимости — обновление KB4565541.

Порядок действий: 1. Определите версию ОС на хосте Hyper-V: powershell systeminfo | findstr /B /C:"OS Name" /C:"OS Version" 2. Установите соответствующее обновление через Центр обновления Windows или вручную, скачав пакет с сайта Microsoft Update Catalog. 3. Перезагрузите хост-сервер после установки обновления.

Временное решение

Если немедленная установка обновления невозможна, отключите компонент RemoteFX vGPU на всех виртуальных машинах. Это полностью устраняет вектор атаки.

Шаги по отключению RemoteFX: 1. Откройте Диспетчер Hyper-V. 2. Для каждой ВМ, использующей RemoteFX: * Выключите виртуальную машину. * Щелкните правой кнопкой мыши по ВМ и выберите Параметры. * В разделе Оборудование выберите Адаптер RemoteFX 3D видео. * Нажмите Удалить. 3. Важно: Удалите конфигурацию RemoteFX с хоста с помощью PowerShell (выполните от имени администратора): powershell Disable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-Management-RemoteFx После выполнения команды потребуется перезагрузка сервера.

Дополнительные меры: * Ограничьте круг пользователей, имеющих доступ к администрированию гостевых ВМ. * Убедитесь, что сетевой трафик между сегментами хоста и гостевых ВМ контролируется межсетевыми экранами.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей