微軟宣布自7月14日的KB4570006以後的更新,將停用並移除RemoteFX vGPU功能,原因是出現了重大安全漏洞。

由於發生遠端程式碼執行(remote code execution,RCE)漏洞,微軟於近日宣布將停用並移除Hyper-V RemoteFX vGPU功能。微軟也並未對此漏洞提供修補程式。

最早自Windows 7問世的RemoteFX的vGPU功能,可以讓多部虛擬機器共用實體GPU,曾是很先進的GPU虛擬化工具。但是由於過於老舊,和許多現代化系統無法相容,微軟已自Server 2016起改推Discrete Device Assignment(DDA)。但是DDA僅Windows Server支援,Windows Pro/Workstation版並不支援,且RemoteFX更方便,因此仍有許多使用者愛用。最新的Windows Server2019中,微軟已移除RemoteFX vGPU,不過,在2021年2月之前,使用者還是能重新啟用。

微軟上周宣布自7月14日的KB4570006以後的更新,將停用並移除RemoteFX vGPU功能,原因是出現了重大安全漏洞。編號CVE-2020-1036的漏洞出現在Hyper-V主機伺服器上的RemoteFX vGPU,對於位在guest OS上已得到授權的用戶輸入指令,未能做有效驗證。而這將讓攻擊者能在guest OS上執行惡意應用程式,而攻擊位於Hyper-V主機上的特定第三方視訊驅動程式,進而在主機作業系統任意執行程式碼。

這項漏洞CVSS 3.0風險等級為8,由於Server 2019已經移除RemoteFX vGPU,因此受影響的版本包括Windows Server 2008、2012、2016。

微軟也沒有製作修補程式,而是直接強制關閉從Windows Update下載RemoteFX vGPU。一旦用戶下載了KB4570006更新,將無法再以RemoteFX vGPU啟用VM,並出現「無法啟用VM,因為Hyper-V Manager已關閉所有支援RemoteFX vGPU的GPU」,以及「無法啟用VM,因為伺服器的GPU資源不足」等訊息。如果用戶企圖重啟RemoteFX vGPU,微軟就會告知你:已不再支援RemoteFX 3D video adapter,若持續使用,恐將面臨安全風險。

微軟建議使用者改用DDA。值得一提的是,DDA僅Server 2016以後版本才有,之前版本的Windows Server伺服器,恐怕將面臨沒有替代方案的處境。


Advertisement

更多 iThome相關內容