Microsoft on julkaissut tietoturvapäivityksen KB4571756, joka poistaa RemoteFX vGPU -ominaisuuden käytöstä tietoturvahaavoittuvuuden vuoksi. Se koskee Windows 10 -versiota 2004^{(Windows 10, version 2004)} ja kaikkia Windows Server -version 2004 versioita.

Tämän päivityksen jälkeen mikä tahansa VM, jossa RemoteFX vGPU on käytössä, epäonnistuu seuraavilla virheilmoituksilla:

• Virtuaalikonetta ei voi käynnistää, koska kaikki RemoteFX-yhteensopivat GPU^(GPUs) :t on poistettu käytöstä Hyper-V Managerissa^{(Hyper-V Manager)} .
• Virtuaalikonetta ei voida käynnistää, koska palvelimella ei ole riittävästi GPU - resursseja.

Vaikka loppukäyttäjä yrittäisi ottaa RemoteFX vGPU:n uudelleen käyttöön, VM näyttää virheilmoituksen –

We no longer support the RemoteFX 3D video adapter. If you are still using this adapter, you may become vulnerable to security risk.

Mikä on RemoteFX vGPU -ominaisuus?

Kun käytät virtuaalikoneita , RemoteFX v GPU -ominaisuuden avulla voit jakaa fyysisen GPU :n . Ominaisuus sopii hyvin, kun fyysinen grafiikkasuoritin^(GPU) on liian suuri resurssi, mutta sen sijaan kaikki virtuaalikoneet^(VMs) voivat jakaa GPU :n dynaamisesti työkuormituksensa mukaan. Etuna on tietysti GPU^(GPU) :n kustannusten aleneminen ja prosessorin^(CPU) kuormituksen väheneminen . Jos haluat kuvitella, se on kuin käyttäisit useita DirectX -sovelluksia samanaikaisesti samalla fyysisellä grafiikkasuorittimella^(GPU) . Joten sen sijaan, että ostaisit 4 GPU^(GPUs) :ta , yksi GPUvoi auttaa työmäärästä riippuen. Sen mukana tuli myös vastatoimia, jotka rajoittivat fyysisen GPU :n liikakäyttöä .

Mikä on RemoteFX vGPU:n tietoturvahaavoittuvuus?

RemoteFX vGPU on vanha. Se otettiin käyttöön Windows 7 :ssä, ja nyt se kohtaa koodin etäsuorittamisen haavoittuvuuden. Koodin etäsuorittamisen haavoittuvuus on olemassa, kun isäntäpalvelimen Hyper-V RemoteFX^{(Hyper-V RemoteFX)} vGPU ei pysty vahvistamaan vierailijakäyttöjärjestelmän todennettua käyttäjää syötteitä kunnolla. Se tapahtuu, kun isäntäpalvelimen Hyper-V RemoteFX^{(Hyper-V RemoteFX)} vGPU ei pysty kunnolla vahvistamaan vierailijakäyttöjärjestelmän autentikoidun käyttäjän syötettä, kun hyökkääjä suorittaa vieraskäyttöjärjestelmässä muotoillun sovelluksen, joka hyökkää yksittäisiä kolmannen osapuolen videoohjaimia vastaan, jotka toimivat Hyperissä . -V^(Hyper-V) isäntä.

Kun hyökkääjällä on pääsy, hän voi suorittaa minkä tahansa koodin isäntäkäyttöjärjestelmässä. Koska tämä on arkkitehtoninen ongelma, sitä ei voida korjata.

Vaihtoehtoja RemoteFX vGPU:lle

Ainoa vaihtoehto on käyttää vaihtoehtoista vGPU:ta, joka voi olla peräisin kolmannen osapuolen sovelluksista tai Microsoft suosittelee Discrete Device Assignmentin^{(Discrete Device Assignment)} ( DDA ) käyttöä. Sen avulla voit yhdistää koko PCIe-laitteen^{(PCIe Device)} virtuaalikoneeseen. Sen lisäksi, että voit sallia pääsyn grafiikkaautoihin^(Graphics) , voit myös jakaa NVMe- tallennustilaa.

DDA : n suurin etu sen lisäksi, että se on turvallinen, ohjaimia ei tarvitse asentaa isäntään ennen laitteen asentamista virtuaalikoneeseen. Niin kauan kuin virtuaalikone pystyy tunnistamaan laitteen PCIe-sijainnin^{(PCIe Location)} , VM:lle voidaan määrittää polku^(Path) sen asentamiseksi. Lyhyesti sanottuna DDA siirtää GPU :n virtuaalikoneelle mahdollistaa alkuperäisen GPU -ohjaimen käytön virtuaalikoneessa ja kaikissa ominaisuuksissa. Se sisältää DirectX 12 :n , CUDA :n jne., mikä ei ollut mahdollista RemoteFX v GPU :lla .

Kuinka ottaa RemoteFX vGPU uudelleen käyttöön

Microsoft varoittaa selvästi, että sinun ei pitäisi käyttää RemoteFX vGPU:ta, mutta jos sinun on pakko, voit ottaa sen uudelleen käyttöön omalla vastuullasi.

Olettaen, että olet jo määrittänyt RemoteFX vGPU 3D -sovittimen, tässä ovat tiedot, jotka toimivat vain Windows 10 :ssä , versiossa 1803 ja aiemmissa versioissa

Määritä RemoteFX vGPU Hyper-V Managerilla^{(Hyper-V Manager)}

Voit määrittää RemoteFX vGPU 3D:n käyttämällä Hyper-V Manageria^{(Hyper-V Manager)} seuraavasti:

• Pysäytä virtuaalikone
• Avaa Hyper-V Manager ja siirry kohtaan  VM Settings .
• Napsauta Lisää laitteisto.
• Valitse RemoteFX 3D Graphics Adapter ja valitse sitten  Lisää^(Add) .

Määritä RemoteFX vGPU PowerShell - cmdletillä

• Ota käyttöön-VMRemoteFXPhysicalVideoAdapter
• Add-VMRemoteFx3dVideoAdapter
• Hanki-VMRemoteFx3dVideoAdapter
• Set-VMRemoteFx3dVideoAdapter
• Hanki-VMRemoteFXPhysicalVideoAdapter

Voit lukea siitä lisää täältä Microsoftista.^{(about it here on Microsoft.)}

Windows 10 disables support for RemoteFX vGPU; Can you re-enable it?

Microsoft has released a security updаte—KB4571756—which will disable the RemoteFX vGPU feature because of a security vulnerability. It applies to Windows 10, version 2004, and all editions Windows Server version 2004.

Post this update, any VM that has RemoteFX vGPU enabled will fail with the following error messages:

• The virtual machine cannot be started because all the RemoteFX-capable GPUs are disabled in Hyper-V Manager.
• The virtual machine cannot be started because the server has insufficient GPU resources.

Even if the end-user tries to re-enable the RemoteFX vGPU, the VM will display the error message—

We no longer support the RemoteFX 3D video adapter. If you are still using this adapter, you may become vulnerable to security risk.

What is the RemoteFX vGPU feature?

When running Virtual Machines, the RemoteFX vGPU feature lets you share the physical GPU. The feature fits well when physical GPU is too much of a resource, but instead, all VMs can dynamically share the GPU for their workload. The advantage is, of course, the reduction in the cost of GPU and decreasing CPU load. If you want to imagine, it is like running multiple DirectX applications at the same time on the same physical GPU.  So instead of buying 4 GPUs, one GPU could help, depending on the workload. It also came with countermeasures that restricted the overuse of physical GPU.

What is the security vulnerability around RemoteFX vGPU?

RemoteFX vGPU is old. It was introduced in Windows 7 and is now facing a remote code execution vulnerability. A remote code execution vulnerability exists when Hyper-V RemoteFX vGPU on a host server fails to properly validate input from an authenticated user on a guest operating system. It happens when Hyper-V RemoteFX vGPU on a host server fails to properly validate input from an authenticated user on a guest operating system when an attacker runs a crafted application on a guest OS, which attacks individual third-party video drivers running on the Hyper-V host.

Once the attacker has access, he can run any code on the host OS. Since this is an architectural issue, there is no fix for it.

Alternatives to RemoteFX vGPU

The only option is to use an alternate vGPU, which could be from third-party applications or Microsoft suggests using Discrete Device Assignment (DDA). It allows you to entire PCIe Device into a VM. Not only can you allow access to Graphics cars, but you can also share NVMe storage.

The biggest advantage of DDA apart from that it’s secure, there is no need to install drivers on the host before the device being mounted within the VM. As long as VM can identify the device’s PCIe Location, the Path can be determined for the VM to mount it. In short, DDA passing a GPU to a VM allows the native GPU driver to be used within the VM and all capabilities. That includes DirectX 12, CUDA, etc., which was not possible with RemoteFX vGPU.

How to re-enable RemoteFX vGPU

Microsoft clearly warns that you should not be using the RemoteFX vGPU, but if you have to, there is a way to enable it again at your own risk.

Assuming you have already configured the RemoteFX vGPU 3D adapter, here are the details that will work only on Windows 10, version 1803, and earlier versions

Configure RemoteFX vGPU with Hyper-V Manager

To configure the RemoteFX vGPU 3D by using Hyper-V Manager, follow these steps:

• Stop the Virtual Machine
• Open Hyper-V Manager and navigate to VM Settings.
• Click on Add Hardware.
• Select RemoteFX 3D Graphics Adapter, and then select Add.

Configure RemoteFX vGPU with PowerShell cmdlets

• Enable-VMRemoteFXPhysicalVideoAdapter
• Add-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFx3dVideoAdapter
• Set-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFXPhysicalVideoAdapter

You can read more about it here on Microsoft.

Related posts

• Työ-/koulutilien käyttäminen ja lisääminen Microsoft Authenticator -sovellukseen

• Irrotettavan tallennustilan luokat ja käyttöoikeudet poistaminen käytöstä Windows 10:ssä

• Poista tiedostot pysyvästi käyttämällä Windowsille tarkoitettua ilmaista File Shredder -ohjelmistoa

• Tiny Security Suite auttaa sinua salaamaan, pilkkomaan ja suojaamaan tiedostoja tietokoneellasi

• Kuinka nollata Windows Security -sovellus Windows 11/10:ssä

• IT-järjestelmänvalvojasi on poistanut Windowsin suojauksen käytöstä

• Miksi Microsoft-tilini suojaustietojen muutos on edelleen kesken?

• Kuinka estää käyttäjiä ohittamasta SmartScreen-varoitusta Edgessä

• Kuinka välttää, että sinua katsotaan oman tietokoneen kautta?

• Rajoita USB-käyttö Windows 10 -tietokoneeseen Ratoolilla

• Selauskokemuksen suojaustarkistus: Kuinka turvallinen selaimesi on?

• Tiedostojen tai prosessien poissulkemisen lisääminen Windowsin suojaukseen

• Muuta Windowsin suojausasetuksia välittömästi ConfigureDefenderin avulla

• Emsisoft Browser Security estää haittaohjelmat ja tietojenkalasteluhyökkäykset

• Paras ilmainen Internet Security Suite -ohjelmisto Windows 11/10 -tietokoneelle

• 10 parasta zoomausasetusta turvallisuuden ja yksityisyyden takaamiseksi

• Tapahtumaan reagoinnin selitys: Vaiheet ja avoimen lähdekoodin ohjelmistot

• Suojaus- ja ylläpitoilmoitusten poistaminen käytöstä Windows 11/10:ssä

• Microsoft-tilin suojausavaimen määrittäminen

• Kuinka suojata WiFi-yhteys – tiedä, ketkä ovat yhteydessä