La falla de seguridad en Azure Hyper-V apareció por primera vez en agosto de 2019, lo que sugiere que el error estuvo en desarrollo durante más de un año y medio. Esta vulnerabilidad afectó a Windows 7, 8.1 y 10 y Windows Server 2008, 2012, 2016 y 2019.

Con una cadena de explotación más compleja, esta vulnerabilidad puede otorgar al atacante capacidades de ejecución remota de código. Éstos, a su vez, hacen que el atacante sea omnipotente; con control sobre el host y todas las máquinas virtuales que se ejecutan sobre él, el atacante puede acceder a la información personal almacenada en estas máquinas, ejecutar cargas útiles maliciosas, etc.

Al respecto, los investigadores Ophir Harpaz, de Guardicore Labs, y Peleg Hadar, de SafeBreach Labs, identificaron la falla como CVE-2021-28476 con una puntuación CVSS: 9.9 sobre 10 y de alta gravedad.

“Hyper-V es el hipervisor de Azure; por esta razón, una vulnerabilidad en Hyper-V implica una vulnerabilidad en Azure y puede afectar regiones enteras de la nube pública. Activar la denegación de servicio desde una VM de Azure colapsaría partes importantes de la infraestructura de Azure y eliminaría todas las máquinas virtuales (VM) que comparten el mismo host”, advirtieron los investigadores.

¿Qué efectos ocasiona?

Ambos expertos en ciberseguridad descubrieron esta vulnerabilidad crítica que utilizó un fuzzer desarrollado internamente, denominado hAFL1. Este hipervisor se encarga del funcionamiento de plataformas como Docker, e incluso de que algunas funciones del SO, como el subsistema de Windows para Linux, WSL, funcionen sin problemas.

Asimismo con dicha vulnerabilidad un atacante que tuviera acceso a una máquina virtual creada dentro de Windows 10 o Windows Server podría enviar fácilmente un paquete a este controlador y comunicarse directamente con el sistema host. Como resultado, los malos actores logran bloquear todo el servidor u obtener un control total sobre él y todas las demás máquinas virtuales (VM).

Microsoft ya ha parcheado esta vulnerabilidad por lo que el servicio Azure está a salvo de esta falla de seguridad, sin embargo, hay algunas implementaciones locales de Hyper-V que son vulnerables a esta falla de seguridad. 

Esto debido a que tanto usuarios como organizaciones no actualizan sus PC´s con Windows a tiempo cuando se lanzan los parches.

De igual manera, explicaron que lo que hizo que esta vulnerabilidad fuera tan letal es la combinación de un error de hipervisor, una desreferencia de puntero arbitraria, con un defecto de diseño que permite un canal de comunicación demasiado permisivo entre el huésped y el anfitrión.

Vulnerabilidades como CVE-2021-28476 demuestran los riesgos que conlleva un modelo de recursos compartidos (por ejemplo, una nube pública). De hecho, en los casos de infraestructuras compartidas, incluso los errores más sencillos pueden dar lugar a resultados devastadores, como la denegación de servicio y la ejecución remota de código, señalaron los investigadores.

Las vulnerabilidades en el software son inevitables, y esta afirmación también se aplica a la infraestructura de nube pública. Esto refuerza la importancia de una estrategia de nube híbrida, una que no ponga todos los huevos en una canasta (o todas las instancias en una región). “Este enfoque facilitará la recuperación de escenarios de ataque DoS, y la segmentación adecuada evitará un compromiso total en caso de una toma de control de una región”, finalizaron.