Hyper-V : un exploit PoC a été publié pour cette vulnérabilité exploitée comme zero-day
Un exploit PoC a été publié pour une faille de sécurité présente dans Hyper-V et déjà exploitée en tant que zero-day. Quels sont les risques ? Comment se protéger ? Faisons le point.
CVE-2025-21333 : une menace pour Hyper-V
À l'occasion de son Patch Tuesday de janvier 2025, Microsoft a corrigé plusieurs dizaines de vulnérabilités, dont trois failles zero day dans Hyper-V. Parmi ces vulnérabilités, il y a la CVE-2025-21333, associée à un score CVSS de 7.8 sur 10 et qui permet une élévation de privilèges en tant que SYSTEM. Il s'agit d'une faiblesse de type Heap-based Buffer Overflow.
Nous le savons déjà, cette vulnérabilité est déjà exploitée dans le cadre d'attaques. Microsoft l'a précisé dans son Patch Tuesday, sans pour autant apporter de précision sur la nature des attaques observées. Comme l'explique l'entreprise américaine sur son site, cette vulnérabilité permet une élévation de privilèges, sans pour autant permettre d'accéder à l'hôte Hyper-V à partir d'une VM (escape).
Ce qui change désormais, c'est la publication d'un exploit PoC public pour cette vulnérabilité. Autrement dit, ces détails techniques facilitent l'exploitation de cette faille de sécurité sur un environnement vulnérable.
Un exploit PoC pour la CVE-2025-21333
Le chercheur en sécurité Alessandro Iandoli a publié un exploit de type proof-of-concept (PoC) pour la faille CVE-2025-21333. Cet exploit cible le pilote vkrnlintvsp.sys et tire parti d'une surcharge dans l'entrée du tampon I/O Ring pour obtenir des capacités de lecture/écriture arbitraires dans le noyau Windows.
Cette publication sur GitHub, au-delà du PoC, donne des détails techniques sur l'exploitation de cette vulnérabilité. Le chercheur explique qu'il a testé son exploit sur Windows 11 23H2, et qu'il devrait fonctionner sur Windows 11 24H2. De plus, cette faille affecte aussi Windows Server.
Contrairement aux techniques traditionnelles, cet exploit ne repose pas sur NtQuerySystemInformation pour fuiter les adresses du noyau ou sur PreviousMode pour obtenir des permissions de lecture/écriture arbitraires. Au lieu de cela, il utilise une technique d'allocation de paged pool impliquant des structures _IOP_MC_BUFFER_ENTRY. C'est ce qu'explique le chercheur sur GitHub.
Microsoft a corrigé la faille CVE-2025-21333 dans sa mise à jour Patch Tuesday de janvier 2025 : vous devez donc installer ces mises à jour pour vous protéger (ou les mises à jour ultérieures). Au-delà du correctif, Microsoft n'a pas donné de mesure d'atténuation en tant qu'alternative.
