Skip to content

Hyper-V security feature bypass (CVE-2022-21900)

Bir Windows Hyper-V security-feature-bypass açığı, virtualization boundary'sinde adjacent/authenticated bir saldırganın (NVD CVSS v3.1 AV:A/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L, base 4.6; burada AV:A/"Adjacent" guest-to-hypervisor gibi virtualization-adjacent bir konumu ifade eder, internet-routable uzaktan erişimi değil) hypervisor-enforced bir korumayı atlamasına izin verir ve kendi başına code execution vermeden bir isolation garantisini zayıflatır (CVE-2022-21900, CVE-2022-21905'ten farklı, Ocak 2022).

Mechanism

Bug class / invariant

Bir security feature bypass (SFB) memory corruption değildir; hypervisor'ın garanti etmesi gereken bir koruma boundary'sinin atlatılabildiği bir logic ya da enforcement boşluğudur. Kırılan invariant, Hyper-V'nin reklamını yaptığı bir isolation/integrity policy'sinin enforcement'ıdır (örneğin guest, host ve secure kernel state'ini ayrı tutan ya da bir context'in hangi bellek/permission'ları elde edebileceğini kısıtlayan virtualization-based-security garantileri).

O enforcement eksik olduğunda, halihazırda bir foothold'a sahip bir saldırgan (NVD'deki yayınlanmış vector'lar: Microsoft'un CVSS v3.1'i CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L, base score 4.6; NIST'in CVSS v2.0AV:A/AC:M/Au:S/C:N/I:P/A:P, base score 3.8 — yani Adjacent attack vector AV:A ve düşük-privilege/authenticated bir konum PR:L/Au:S; pratikte virtualization boundary'sinde adjacent ve authenticated bir aktör. Not: AV:A CVSS'de "Adjacent" anlamına gelir; burada guest-to-hypervisor gibi virtualization-adjacent bir konumu ifade eder, internet-routable uzaktan erişimi değil), policy'nin yasaklaması gereken bir state'e ulaşabilir — örn. virtualization-based security'nin kilitlemesi gereken memory-permission ya da isolation kararlarını etkileyebilir. Microsoft bunu aynı Ocak 2022 setinde ilgili Hyper-V SFB CVE-2022-21905 ile birlikte yayınladı; ikisi aynı genel sınıfı kapsayan farklı CVE'lerdir.

Önemlisi, bir SFB kodu doğrudan çalıştırmak yerine bir savunmayı düşürür. Kendi başına SYSTEM ya da host RCE vermez; tehlikesi enabling bir primitive olmasıdır — bir mitigation'ı kaldırır, böylece ikinci bir bug (bir memory-safety açığı, bir EoP ya da bir escape) exploit edilebilir ya da daha güvenilir hâle gelir. Bu yüzden SFB'ler standalone escalation'lar değil, boundary-integrity zayıflıkları olarak kataloglanır.

Warning

Bir SFB'yi bir force-multiplier olarak ele alın. Defender'lar bazen "yalnızca bypass, RCE yok" sorunlarını önceliksizleştirir; pratikte bunlar diğer Hyper-V bug'larını erişilebilir kılan basamaklardır, bu yüzden EoP/RCE ile aynı patch cadence'ına aittirler.

Walkthrough

Sadece high-level — Microsoft'un advisory'si bir trigger yayınlamadan bypass sınıfını ve impact'i belirtir. Aşağıdaki shape hypervisor SFB'leri için generic'tir.

Conceptual flow (security feature bypass)
1. Identify a protection Hyper-V/VBS is meant to enforce on a boundary
   (e.g. an isolation or memory-permission/integrity guarantee).

2. From the authenticated/adjacent position the CVSS vector implies, drive
   an operation sequence the enforcement logic does not fully cover.

3. The hypervisor accepts a state/transition the policy should have denied
   -> the protection is bypassed (the guarantee no longer holds).

4. Standalone result: a weakened boundary (no code exec). In a real chain,
   this bypass is paired with a separate memory-corruption or EoP bug to
   achieve impact that the now-bypassed feature would otherwise have blocked.

Advisory'ye göre etkilenen: Hyper-V role / VBS yüzeyini taşıyan geniş bir Windows 10/11 ve Windows Server (2012/2012 R2/2016/2019/2022) build yelpazesi.

Detection

  • Integrity/attestation telemetry: Bir korumayı bypassed, disabled ya da policy ile tutarsız olarak raporlayan VBS, HVCI veya measured-boot/attestation state'i.
  • Host EDR: Enforce edilen özellik altında değişmez olması gereken bir Hyper-V host'undaki memory protection'lara ya da isolation state'ine yapılan beklenmedik değişiklikler.
  • SFB-attempt göstergelerini ikinci bir bug'ın sonraki exploitation'ı ile ilişkilendirin; bir EoP/RCE denemesinden önce gelen izole bir "yalnızca bypass" olayı avlanacak zincirdir.

Mitigation

  • CVE-2022-21900'ü (ve CVE-2022-21905'i) gideren Ocak 2022 cumulative update'lerini uygulayın — KB5009543/KB5009555/KB5009557 gibi per-build KB'ler ve Server eşdeğerleri. Patch'lemek, bypass'ın yendiği enforcement'ı geri getirir.
  • Virtualization-based security (VBS) ve Hypervisor-protected Code Integrity (HVCI)'yi etkin tutun; bir SFB bunları zayıflatır, bu yüzden boundary'yi yeniden kuran şey fix artı etkin VBS'tir.
  • Defense-in-depth: Patch'lenmemiş bir SFB'nin diğer bug'ları enable ettiğini varsayın — "yalnızca bypass" bulgularını ertelemek yerine onu EoP/RCE ile aynı cadence'ta önceliklendirin.

References