Важное обновление безопасности для роли Hyper-V
Сегодняшний день конкуренты Microsoft запомнят надолго и будут смаковать его ещё (надеюсь) не один год. Шутка ли — за один месяц были обнаружены уязвимости разной степени опасности почти во всех продуктах и компонентах, которые больше всего ненавистны сторонникам альтернативных решений. В частности — SMB Client и SMB Server, TCP/IP Stack, Microsoft Office, Kerberos, Windows Kernel и даже Microsoft Paint. Список неполный — пожалуйста, обратите внимание на Microsoft Security Bulletin Summary for February 2010. Но самое интересное для нас — это первая за без малого двухлетнюю историю технологии уязвимость в Hyper-V! Подробности обязательно прочтите по ссылкам в конце заметки. Я же во избежание излишнего ажиотажа хотел бы заострить внимание на следующих моментах.
Уязвимость затрагивает следующие продукты:
- Windows Server 2008 (SP1 и SP2),
- Windows Server 2008 R2,
- Microsoft Hyper-V Server 2008 (SP1 и SP2),
- Microsoft Hyper-V Server 2008 R2.
Бюллютень имеет статус «Important» (важный). Это вызвано следующими причинами.
- Максимальная опасность, которой грозит успешное использование уязвимости, — это отказ в обслуживании (Denial of Service, DoS). Это значит, что даже в худшем случае злоумышленник может только остановить ваш сервер. Т.е. сделать так, чтобы он прекратил отвечать на запросы, и вам придётся этот сервер перезапустить. Очевидно, что это затронет и все виртуальные машины, которые запущены на этом сервере. Но при этом злоумышленник не сможет выполнить произвольный код на родительской ОС или других ВМ, а также повысить свои привилегии в системе.
- Для использования уязвимости необходимо выполнить в виртуальной машине некую последовательность инструкций (машинных команд), которая не разглашается. Например, загрузить и выполнить специально подготовленный исполняемый файл. А для этого необходимы действуюие учётные данные пользователя с правом запускать произвольные приложения. Удалённо (по сети, не считая служб «Удалённого рабоче стола») или анонимно использовать уязвимость невозможно. Это значит, что использовать уязвимость могут только ваши собственные пользователи или коллеги, либо кто-то, кто завладел их учётными данными.
- На сегодня не известно ни одного случая применения этой уязвимости в промышленных средах. Т.е. предполагается, что до момента обнародования настоящей информации и публикации исправления, об этой уязвимости не знал никто, кроме уполномоченных сотрудников Microsoft, которые работали над исправлением, а также лица, которое обнаружило уязвимость и в частном порядке уведомило о ней Microsoft.
В случае, если на вашем сервере установлена роль Hyper-V, вам рекомендуется как можно скорее установить исправление. Для этого можно использовать такие инструменты, как Windows Update, Microsoft Update, Windows Server Update Services (WSUS) или System Center Configuration Manger (ConfigMgr). Если роль Hyper-V не установлена, то службы автоматического определения необходимых обновлений не будут предлагать исправление для описываемой уязвимости. Однако вы всегда можете загрузить и установить его вручную. В виртуальные машины устанавливать это исправление не требуется.
Обновление выпущено только для 64-битных изданий Windows Server 2008 и Windows Server 2008 R2. Каждое из них применимо и к соответствующей версии Microsoft Hyper-V Server. Обновление в равной степени применимо к полной установке Windows Server и к варианту установки Server Core. Обновление содержит единственный пакет, который называется «wvid.inf» и содержит Virtualization Infrastructure Driver (VID). В Windows Server 2008 этот пакет состоит из файлов «vid.sys» и «wvid.inf». В Windows Server 2008 R2 — из файлов «vid.dll», «vid.sys» и «wvid.inf». Версии файлов перечислены в следующей таблице.
| OS | Milestone | Service Branch | Package Build |
|---|---|---|---|
| Windows Server 2008 |
SP1 |
GDR |
|
|
LDR |
|||
|
SP2 |
GDR |
||
|
LDR |
|||
| Windows Server 2008 R2 |
SP0 |
GDR |
|
|
LDR |
Информация о версиях файлов приведена исключительно в справочных целях. Файлы обновления распространяются в виде двух дистрибутивов — по одному для каждой версии ОС. Механизм обновления Windows самостоятельно выберет нужную версию пакета для установки в каждом случае. Все дистрибутивы обновлений применимы к любой языковой версии.
Получить дополнительную информацию об уязвимости и способах её устранения вы можете по следующим ссылкам.
- Бюллютень по безопасности Microsoft Security Bulletin MS10-010 — Vulnerability in Windows Server 2008 Hyper-V Could Allow Denial of Service (977894);
- Статья Базы знаний Microsoft KB977894 — MS10-010: Vulnerability in Windows Server 2008 Hyper-V could allow denial of service.
Загрузить обновление для установки вручную из Центра загрузки Microsoft