Les chercheurs en sécurité Ophir Harpaz de Guardicore et Peleg Hadar de SafeBreach ont détecté une vulnérabilité très grave (Score CVSS : 9,9) dans Azure Hyper-V. Cette nouvelle faille de sécurité permet aux acteurs de la menace de verrouiller les PC vulnérables en effectuant des attaques RCE (Remote Code Execution) et DOS.

"Hyper-V est l'hyperviseur d'Azure ; pour cette raison, une vulnérabilité dans Hyper-V entraîne une vulnérabilité dans Azure, et peut affecter des régions entières du cloud public. Le déclenchement d'un déni de service à partir d'une VM Azure ferait tomber des parties importantes de l'infrastructure d'Azure et mettrait hors service toutes les machines virtuelles (VM) qui partagent le même hôte."

Cette vulnérabilité critique a été détectée dans le pilote du commutateur réseau de Hyper-V (vmswitch.sys) et elle affecte Windows 10 et Windows Server 2012 jusqu'à 2019.

Cet hyperviseur est la clé du fonctionnement de plateformes telles que Docker, et même de certaines fonctions du système d'exploitation, comme le sous-système Windows pour Linux, WSL.

De plus, cette vulnérabilité dans le commutateur virtuel Hyper-V ne valide pas l'OID (object identifier). En bref, comme cela, un attaquant qui avait accès à une VM créée au sein d'un Windows 10 ou Windows Server pouvait facilement envoyer un paquet à ce pilote et communiquer directement avec le système hôte. En conséquence, ils parviennent à bloquer l'ensemble du serveur ou à en prendre le contrôle total, ainsi que toutes les autres machines virtuelles.

Le service Azure est à l'abri de cette faille de sécurité puisque Microsoft a déjà corrigé cette vulnérabilité, mais certains déploiements Hyper-V locaux y sont encore vulnérables en raison de la lenteur des utilisateurs et des organisations vis-à-vis l’application des mises à jour.

C'est pourquoi les analystes de sécurité recommandent fortement de suivre les bonnes pratiques de sécurité et de mettre à jour les différents systèmes des que ces derniers sont disponibles.