Skip to content

Hyper-V guest-to-host EoP class (CVE-2023-36427, no verified PoC) (2023)

CVE-2023-36427: Kasım 2023 Patch Tuesday'den bir Windows Hyper-V Elevation of Privilege bug'ı (CVSS 7.0, local, high attack complexity) ki SYSTEM ile sonuçlanabilir. Derin public teknik içsel detaylar kısıtlı olduğundan, aşağıdaki exploitation spesifikasyonları konsept düzeyinde tutulmuştur.

Mechanism

Bug class ve boundary

Component: Windows Hyper-V. Microsoft'un advisory'si bunu 14 Kasım 2023 security update'inde ele alınan bir Hyper-V Elevation of Privilege vulnerability'si olarak sınıflandırır. Tam vulnerable modül/fonksiyon public Microsoft materyalinde detaylandırılmamıştır.

Trust boundary: Bu biçimdeki Hyper-V EoP bug'ları, bir guest/partition ile host VMM stack'i (user-mode vmwp.exe worker process'i ve kernel virtualization driver'ları Vid.sys/vmbus) arasındaki boundary'de oturur. Microsoft'un metrikleri high attack complexity ile bir local vector tanımlar; ZDI, Kasım 2023 için tüm Hyper-V EoP bug'larının bir guest OS'ten başlatılabileceğinin "tamamen net olmadığını" açıkça uyardı. Yani "guest-to-host"u, bu CVE'nin Microsoft tarafından teyit edilmiş bir özelliği olarak değil, bu öğenin dokümante ettiği bug sınıfı olarak ele alın.

Vuln class: bu CVE için Microsoft tarafından public olarak açıklanmadı. Bu dönemdeki EoP-to-SYSTEM Hyper-V bug'ları tipik olarak device emulation'da veya VID broker surface'inde memory-safety sorunlarıdır (OOB / type confusion / overflow), ama CVE-2023-36427 için kesin sınıf doğrulanmamıştır.

Kısıtlı public detay / PoC iddiası

Slug/title bir "PoC"a atıfta bulunur, ama araştırma sırasında CVE-2023-36427'ye özgü, yaygın atıf alan, doğrulanmış bir public proof-of-concept teyit edilmedi. Bu CVE için iddia edilen herhangi bir PoC'u doğrulanmış kabul etmeyin. Doğrulanmış olgular şunlardır: CVE id, Hyper-V EoP sınıflandırması, CVSS 7.0, local vector, high complexity, SYSTEM'e yol açabilir ve Kasım 2023 patch tarihi.

Walkthrough

Microsoft içsel mekanizmayı yayımlamadığından, burada yalnızca genel Hyper-V EoP reproduction pattern'i, konsept olarak işaretlenerek anlatılır:

  1. Local authenticated bir principal (genel EoP-from-guest pattern'ine göre, potansiyel olarak bir guest içindeki privileged bir context), bir host tarafı emulation veya broker surface'ine ulaşır — örneğin VMBus mesajları, bir VID/IOCTL path'i veya emulated bir device port'u üzerinden.
  2. O surface'e malformed veya spec dışı bir request teslim edilir.
  3. Host bileşeni input'u yanlış işler (memory-safety sınıfı doğrulanmamış) ve host partition'ında SYSTEM'de code execution'a yönlendirilebilecek bir state üretir.
  4. Patch: 14 Kasım 2023 cumulative update sorunu düzeltir; belirli kod değişikliği public değildir.

Vulnerable kodu anlatan otoriter bir public kaynak bulunamadığından temsili bir exploit fragment sunulmaz — birini sentezlemek fabrication riski taşır.

Detection

  • Patch state: Kasım 2023 cumulative update'in tüm Hyper-V host'larında kurulu olduğunu doğrulayın (Get-HotFix, winver); host build'ini MSRC advisory'sinin affected-products listesine karşı cross-check edin.
  • Host integrity: Hyper-V host'larını beklenmeyen bugcheck'ler, vmwp.exe crash'leri veya pool-corruption signature'ları için izleyin; bunlar host tarafı emulation'a karşı başarısız exploitation girişimlerine işaret edebilir.
  • Guest-side hygiene: gerçekçi giriş noktası compromise edilmiş/malicious bir guest olduğundan, saldırgan kodu çalıştıran herhangi bir guest'i potansiyel bir başlatma noktası olarak ele alın ve host instabilitesiyle korele anormal VMBus / device-emulation aktivitesini izleyin.
  • EDR: host'taki, virtualization-management olmayan binary'lerden Hyper-V management/IOCTL surface'lerine pivot eden local process'lere alert üretin.

Mitigation

  • Kasım 2023 (14 Kas 2023) security update'ini uygulayın — MSRC'ye göre otoriter fix. Tam Windows / Windows Server build'iniz için advisory'nin affected-products listesine karşı doğrulayın.
  • Defense-in-depth: hassas host'larda guest'lerde yalnızca trusted workload'lar çalıştırın; multi-tenant host'ları izole edin; least privilege uygulayın ki low-privilege bir local context Hyper-V broker/emulation surface'lerine kolayca ulaşamasın.
  • Monitoring: yukarıdaki detection sinyallerini yerinde tutun; high attack complexity riski azaltır ama ortadan kaldırmaz.

References