Vulnerabilitatea din Windows Hyper-v NT Kernel permite elevarea privilegiilor – PoC lansat

Persoanele rău intenționate au exploatat în mod activ CVE-2025-21333, o vulnerabilitate din Windows Hyper-V NT Kernel Integration Virtual Service Provider (VSP) al Microsoft.

Această vulnerabilitate de tip heap-based buffer overflow permite atacatorilor locali să își escaladeze privilegiile până la nivelul SYSTEM, reprezentând un risc de securitate semnificativ.

Vulnerabilitatea se află în driverul vkrnlintvsp.sys, o componentă cheie a VSP Hyper-V NT Kernel Integration.

Acest driver facilitează comunicarea dintre sistemul de operare gazdă și mașinile virtuale de tip container (de exemplu, Windows Sandbox și Microsoft Defender Application Guard).

Spre deosebire de mediile Hyper-V clasice, aceste VM-uri în containere simulează rularea pe sistemul de operare gazdă, ceea ce introduce vectori de atac unici.

Vulnerabilitatea afectează în principal:

• Windows 11 versiunea 23H2 (testată);
• Potențial, Windows 11 versiunea 24H2 (netestată);
• Alte versiuni utilizează drivere vkrnlintvsp.sys vulnerabile.

Măsurile de atenuare implică distribuirea mai multor obiecte sau parcurgerea în buclă a încercărilor de realocare pentru a obține configurația de memorie dorită.

Actualizați sistemele: aplicați actualizări de securitate pentru versiunile Windows afectate.

Activați măsurile de protecție: utilizați caracteristici precum izolarea Hyper-V pentru o securitate sporită.

Monitorizați exploatările: monitorizați semnele de exploatare activă utilizând instrumente de detectare a endpoint-urilor.

Exploatarea cu succes compromite confidențialitatea, integritatea și disponibilitatea prin acordarea privilegiilor SYSTEM.

Microsoft a abordat această vulnerabilitate în actualizările Patch Tuesday din ianuarie 2025. Utilizatorii sunt sfătuiți să aplice imediat aceste patch-uri.

Sursă: https://cybersecuritynews.com/windows-hyper-v-nt-kernel-vulnerability/