由于发生远程程序代码执行(remote code execution,RCE)漏洞,微软于近日宣布将停用并移除Hyper-V RemoteFX vGPU功能。微软也并未对此漏洞提供修补程序。
最早自Windows 7问世的RemoteFX的vGPU功能,可以让多部虚拟机共享实体GPU,曾是很先进的GPU虚拟化工具。但是由于过于老旧,和许多现代化系统无法兼容,微软已自Server 2016起改推Discrete Device Assignment(DDA)。但是DDA仅Windows Server支持,Windows Pro/Workstation版并不支持,且RemoteFX更方便,因此仍有许多用户爱用。最新的Windows Server2019中,微软已移除RemoteFX vGPU,不过,在2021年2月之前,用户还是能重新激活。
微软上周宣布自7月14日的KB4570006以后的更新,将停用并移除RemoteFX vGPU功能,原因是出现了重大安全漏洞。编号CVE-2020-1036的漏洞出现在Hyper-V主机服务器上的RemoteFX vGPU,对于位于guest OS上已得到授权的用户输入指令,未能做有效验证。而这将让攻击者能在guest OS上执行恶意应用程序,而攻击位于Hyper-V主机上的特定第三方视频驱动程序,进而在主机操作系统任意执行程序代码。
这项漏洞CVSS 3.0风险等级为8,由于Server 2019已经移除RemoteFX vGPU,因此受影响的版本包括Windows Server 2008、2012、2016。
微软也没有制作修补程序,而是直接强制关闭从Windows Update下载RemoteFX vGPU。一旦用户下载了KB4570006更新,将无法再以RemoteFX vGPU激活VM,并出现“无法激活VM,因为Hyper-V Manager已关闭所有支持RemoteFX vGPU的GPU”,以及“无法激活VM,因为服务器的GPU资源不足”等消息。如果用户企图重启RemoteFX vGPU,微软就会告知你:已不再支持RemoteFX 3D video adapter,若持续使用,恐将面临安全风险。
微软建议用户改用DDA。值得一提的是,DDA仅Server 2016以后版本才有,之前版本的Windows Server服务器,恐怕将面临没有替代方案的处境。