Windows Hyper-V 远程代码执行漏洞

该 RCE 漏洞的潜在影响非常严重。攻击者可以通过利用此漏洞在 Hyper-V 虚拟机中执行恶意代码，进而可能逃逸到宿主机环境。这可能导致攻击者获得对整个系统的完全控制权，包括访问敏感数据、安装恶意软件以及进行横向移动攻击。由于 Hyper-V 广泛应用于企业环境中，该漏洞的潜在影响范围非常广，可能影响大量用户和系统。攻击者可能利用此漏洞窃取机密信息，破坏系统运行，甚至发起更大规模的网络攻击。

Organizations heavily reliant on Hyper-V for virtualized workloads are at significant risk. This includes businesses using Hyper-V to host critical applications, development environments, or test servers. Environments with older, unpatched Windows versions are particularly vulnerable. Shared hosting providers utilizing Hyper-V also face increased exposure.

• windows / supply-chain:

Get-WinEvent -LogName Security -Filter "EventID = 4688 -MessageText '*Hyper-V*'"

• windows / supply-chain:

Get-Process -Name HyperVHostProcess | Select-Object -ExpandProperty Path

• windows / supply-chain:

Get-ScheduledTask | Where-Object {$_.TaskName -like '*HyperV*'}

1. 2024-05-14Disclosure

   disclosure

1. 已保留2024-03-22
2. 发布日期2024-05-14
3. 修改日期2025-05-03
4. EPSS 更新日期2026-04-02

微软建议用户尽快将 Windows Hyper-V 更新至 10.0.25398.887 或更高版本。如果无法立即升级，可以考虑采取以下缓解措施：限制 Hyper-V 虚拟机的权限，禁用不必要的 Hyper-V 功能，并加强网络安全策略。此外，可以利用 Windows Defender 监控可疑活动，并及时响应安全警报。升级后，请验证 Hyper-V 服务是否正常运行，并检查系统日志是否存在异常。