Hyper-V security feature bypass (CVE-2022-21900)¶
Bir Windows Hyper-V security-feature-bypass açığı, virtualization boundary'sinde adjacent/authenticated bir saldırganın (NVD CVSS v3.1
AV:A/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L, base 4.6; buradaAV:A/"Adjacent" guest-to-hypervisor gibi virtualization-adjacent bir konumu ifade eder, internet-routable uzaktan erişimi değil) hypervisor-enforced bir korumayı atlamasına izin verir ve kendi başına code execution vermeden bir isolation garantisini zayıflatır (CVE-2022-21900, CVE-2022-21905'ten farklı, Ocak 2022).
Mechanism¶
Bug class / invariant
Bir security feature bypass (SFB) memory corruption değildir; hypervisor'ın garanti etmesi gereken bir koruma boundary'sinin atlatılabildiği bir logic ya da enforcement boşluğudur. Kırılan invariant, Hyper-V'nin reklamını yaptığı bir isolation/integrity policy'sinin enforcement'ıdır (örneğin guest, host ve secure kernel state'ini ayrı tutan ya da bir context'in hangi bellek/permission'ları elde edebileceğini kısıtlayan virtualization-based-security garantileri).
O enforcement eksik olduğunda, halihazırda bir foothold'a sahip bir saldırgan (NVD'deki
yayınlanmış vector'lar: Microsoft'un CVSS v3.1'i CVSS:3.1/AV:A/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:L,
base score 4.6; NIST'in CVSS v2.0'ı AV:A/AC:M/Au:S/C:N/I:P/A:P, base score 3.8 — yani
Adjacent attack vector AV:A ve düşük-privilege/authenticated bir konum PR:L/Au:S;
pratikte virtualization boundary'sinde adjacent ve authenticated bir aktör. Not: AV:A
CVSS'de "Adjacent" anlamına gelir; burada guest-to-hypervisor gibi virtualization-adjacent
bir konumu ifade eder, internet-routable uzaktan erişimi değil),
policy'nin yasaklaması gereken bir
state'e ulaşabilir — örn. virtualization-based security'nin kilitlemesi gereken
memory-permission ya da isolation kararlarını etkileyebilir. Microsoft bunu aynı Ocak 2022
setinde ilgili Hyper-V SFB CVE-2022-21905 ile birlikte yayınladı; ikisi aynı genel sınıfı
kapsayan farklı CVE'lerdir.
Önemlisi, bir SFB kodu doğrudan çalıştırmak yerine bir savunmayı düşürür. Kendi başına SYSTEM ya da host RCE vermez; tehlikesi enabling bir primitive olmasıdır — bir mitigation'ı kaldırır, böylece ikinci bir bug (bir memory-safety açığı, bir EoP ya da bir escape) exploit edilebilir ya da daha güvenilir hâle gelir. Bu yüzden SFB'ler standalone escalation'lar değil, boundary-integrity zayıflıkları olarak kataloglanır.
Warning
Bir SFB'yi bir force-multiplier olarak ele alın. Defender'lar bazen "yalnızca bypass, RCE yok" sorunlarını önceliksizleştirir; pratikte bunlar diğer Hyper-V bug'larını erişilebilir kılan basamaklardır, bu yüzden EoP/RCE ile aynı patch cadence'ına aittirler.
Walkthrough¶
Sadece high-level — Microsoft'un advisory'si bir trigger yayınlamadan bypass sınıfını ve impact'i belirtir. Aşağıdaki shape hypervisor SFB'leri için generic'tir.
Conceptual flow (security feature bypass)
1. Identify a protection Hyper-V/VBS is meant to enforce on a boundary
(e.g. an isolation or memory-permission/integrity guarantee).
2. From the authenticated/adjacent position the CVSS vector implies, drive
an operation sequence the enforcement logic does not fully cover.
3. The hypervisor accepts a state/transition the policy should have denied
-> the protection is bypassed (the guarantee no longer holds).
4. Standalone result: a weakened boundary (no code exec). In a real chain,
this bypass is paired with a separate memory-corruption or EoP bug to
achieve impact that the now-bypassed feature would otherwise have blocked.
Advisory'ye göre etkilenen: Hyper-V role / VBS yüzeyini taşıyan geniş bir Windows 10/11 ve Windows Server (2012/2012 R2/2016/2019/2022) build yelpazesi.
Detection¶
- Integrity/attestation telemetry: Bir korumayı bypassed, disabled ya da policy ile tutarsız olarak raporlayan VBS, HVCI veya measured-boot/attestation state'i.
- Host EDR: Enforce edilen özellik altında değişmez olması gereken bir Hyper-V host'undaki memory protection'lara ya da isolation state'ine yapılan beklenmedik değişiklikler.
- SFB-attempt göstergelerini ikinci bir bug'ın sonraki exploitation'ı ile ilişkilendirin; bir EoP/RCE denemesinden önce gelen izole bir "yalnızca bypass" olayı avlanacak zincirdir.
Mitigation¶
- CVE-2022-21900'ü (ve CVE-2022-21905'i) gideren Ocak 2022 cumulative update'lerini uygulayın — KB5009543/KB5009555/KB5009557 gibi per-build KB'ler ve Server eşdeğerleri. Patch'lemek, bypass'ın yendiği enforcement'ı geri getirir.
- Virtualization-based security (VBS) ve Hypervisor-protected Code Integrity (HVCI)'yi etkin tutun; bir SFB bunları zayıflatır, bu yüzden boundary'yi yeniden kuran şey fix artı etkin VBS'tir.
- Defense-in-depth: Patch'lenmemiş bir SFB'nin diğer bug'ları enable ettiğini varsayın — "yalnızca bypass" bulgularını ertelemek yerine onu EoP/RCE ile aynı cadence'ta önceliklendirin.