Hyper-V EoP (CVE-2022-21901)¶
Guest'ten erişilebilir veya partition-boundary state'inin yanlış işlendiği, bir saldırganın Hyper-V isolation boundary'sini geçen privilege'ler kazanmasına izin veren bir Hyper-V elevation-of-privilege bug sınıfı (CVSS Scope:Changed).
Mechanism¶
Boundary neden kırılıyor
Hyper-V, guest partition'larını birbirinden ve root (parent)
partition'ından hypervisor (hvix64) ve host tarafındaki servisleri
aracılığıyla izole eder. Buradaki bir elevation-of-privilege bug'ı, bir
security authority'sindeki (bir guest veya low-privileged bir context) kodun
başka birinin privilege'leriyle hareket etmesine izin verir. CVE-2022-21901
hypervisor'ın kendisindedir ve Microsoft'un FAQ'ı bunu bir guest-to-guest
etkileşimi olarak çerçeveler; MSRC bunu Scope:Changed ile 9.0 puanlar; bu,
exploitation'ın "kaynak VM'in security authority'sinden çıktığının" formal
kodlamasıdır.
CVE-2022-21901'in kendi root cause'u public değildir: Microsoft per-CVE teknik detay yayımlamaz ve NVD bu ID için bir weakness sınıfı vermez (NVD-CWE-noinfo; başlangıçta CWE-269 idi, Ağu 2023'te no-info'ya remap edildi). Bu yüzden 21901 için kesin bug class'ı bilinmiyor — yalnızca "guest-erişilebilir bir hypervisor code path üzerinden EoP" üst-sınıfı doğrulanabilir. Aşağıdaki kardeş ID'ler 21901'i açıklamaz; aynı hypervisor-merkezli Hyper-V EoP sınıfını farklı, public-CWE'li root cause'larla örnekler: CVE-2020-1080 (improper memory-object handling, bir primitive), CVE-2023-36408 (heap-based buffer overflow, CWE-122), CVE-2024-38127 (buffer over-read, CWE-126) ve CVE-2025-54115 (race condition, CWE-362). Her durumda kırılan invariant: bir partition (veya low-privileged context), host/hypervisor state'ini bozarak ya da race ederek kendisine daha yüksek privilege verdiremezler.
Kardeş not'tan farkı
Bu not 2022+ hypervisor-merkezli EoP ID ailesini (CVE-2022-21901 ve CVE-2023-36408 / -2024-38127 / -2025-54115) toplar. Daha eski, host-side "objects in memory" lifecycle defect'i (CVE-2020-0917/-0918, UAF/state-confusion) ayrı bir teknik olarak Hyper-V memory-handling EoP not'unda işlenir.
Walkthrough¶
Public silahlandırılmış PoC yok
Microsoft bunlar için per-CVE root-cause detayı veya reproduction adımları yayımlamaz ve üçüncü taraf bir teknik yazı bulunamadı. Bu yüzden walkthrough, her ID için NVD CWE sınıfının kurduğu konsept path'tir; somut offset'ler/structure'lar kasıtlı olarak uydurulmamıştır.
-
Bir saldırgan, etkilenen hypervisor/host kod path'ine ulaşabilen low-privileged bir context'te — bir guest partition'ı veya unprivileged bir process — kod çalıştırır.
-
Altta yatan defect'i tetikleyen input sağlar veya operasyonları zamanlar: bir heap overflow (CVE-2023-36408), bir over-read (CVE-2024-38127) veya bir race window'u (CVE-2025-54115).
-
Hedeflenen state'i bozmak/sızdırmak, saldırganın partition boundary'si üzerinden yükselmesine izin verir — MSRC'nin Scope:Changed ile işaretlediği EoP sonucu.
Detection¶
- Patch/version audit: İlgili Patch-Tuesday update'lerinin uygulandığını doğrulayın (CVE-2022-21901 için Oca 2022, CVE-2023-36408 için Kas 2023, CVE-2024-38127 için Ağu 2024, CVE-2025-54115 için Eyl 2025).
- Host integrity: Hypervisor/root-partition crash'leri veya anormal cross-partition davranışı gözlemlenebilir sinyallerdir; tam root-cause telemetry'si public değildir.
Mitigation¶
- Patch: İlgili Microsoft security update'lerini uygulayın — bu sınıftaki tüm ID'ler için birincil mitigation budur.
- Defense in depth: Virtualization-Based Security / hypervisor-enforced integrity'yi etkin tutun ve bir host'u paylaşan guest'lerdeki untrusted kodu en aza indirin.