出現RCE漏洞，微軟將停用RemoteFX vGPU功能

由於發生遠端程式碼執行（remote code execution，RCE）漏洞，微軟於近日宣布將停用並移除Hyper-V RemoteFX vGPU功能。微軟也並未對此漏洞提供修補程式。

最早自Windows 7問世的RemoteFX的vGPU功能，可以讓多部虛擬機器共用實體GPU，曾是很先進的GPU虛擬化工具。但是由於過於老舊，和許多現代化系統無法相容，微軟已自Server 2016起改推Discrete Device Assignment（DDA）。但是DDA僅Windows Server支援，Windows Pro/Workstation版並不支援，且RemoteFX更方便，因此仍有許多使用者愛用。最新的Windows Server2019中，微軟已移除RemoteFX vGPU，不過，在2021年2月之前，使用者還是能重新啟用。

微軟上周宣布自7月14日的KB4570006以後的更新，將停用並移除RemoteFX vGPU功能，原因是出現了重大安全漏洞。編號CVE-2020-1036的漏洞出現在Hyper-V主機伺服器上的RemoteFX vGPU，對於位在guest OS上已得到授權的用戶輸入指令，未能做有效驗證。而這將讓攻擊者能在guest OS上執行惡意應用程式，而攻擊位於Hyper-V主機上的特定第三方視訊驅動程式，進而在主機作業系統任意執行程式碼。

這項漏洞CVSS 3.0風險等級為8，由於Server 2019已經移除RemoteFX vGPU，因此受影響的版本包括Windows Server 2008、2012、2016。

微軟也沒有製作修補程式，而是直接強制關閉從Windows Update下載RemoteFX vGPU。一旦用戶下載了KB4570006更新，將無法再以RemoteFX vGPU啟用VM，並出現「無法啟用VM，因為Hyper-V Manager已關閉所有支援RemoteFX vGPU的GPU」，以及「無法啟用VM，因為伺服器的GPU資源不足」等訊息。如果用戶企圖重啟RemoteFX vGPU，微軟就會告知你：已不再支援RemoteFX 3D video adapter，若持續使用，恐將面臨安全風險。

微軟建議使用者改用DDA。值得一提的是，DDA僅Server 2016以後版本才有，之前版本的Windows Server伺服器，恐怕將面臨沒有替代方案的處境。