Microsoft пусна актуализация на защитата – KB4571756 – която ще деактивира функцията RemoteFX vGPU поради уязвимост в сигурността. Прилага се за Windows 10, версия 2004^{(Windows 10, version 2004)} и всички издания на Windows Server версия 2004.

Публикувайте тази актуализация, всяка виртуална машина, която има активиран RemoteFX vGPU, ще се провали със следните съобщения за грешка:

• Виртуалната машина не може да бъде стартирана, защото всички графични процесори^(GPUs) , съвместими с RemoteFX, са деактивирани в Hyper-V Manager .
• Виртуалната машина не може да бъде стартирана, защото сървърът няма достатъчно ресурси на GPU .

Дори ако крайният потребител се опита да активира повторно RemoteFX vGPU, VM ще покаже съобщението за грешка—

We no longer support the RemoteFX 3D video adapter. If you are still using this adapter, you may become vulnerable to security risk.

Какво представлява функцията RemoteFX vGPU?

Когато работите с виртуални машини , функцията RemoteFX v GPU ви позволява да споделяте физическия графичен процесор^(GPU) . Функцията се вписва добре, когато физическият графичен процесор^(GPU) е твърде голям ресурс, но вместо това всички виртуални машини^(VMs) могат динамично да споделят графичния процесор^(GPU) за своето работно натоварване. Предимството, разбира се, е намаляването на цената на графичния процесор^(GPU) и намаляването на натоварването на процесора . ^(CPU)Ако искате да си представите, това е като да стартирате няколко DirectX приложения едновременно на един и същ физически графичен процесор^(GPU) . Така че вместо да купувате 4 графични процесора^(GPUs) , един графичен процесор^(GPU)може да помогне, в зависимост от натовареността. Той също така дойде с контрамерки, които ограничиха прекомерната употреба на физически GPU .

Каква е уязвимостта в сигурността около RemoteFX vGPU?

RemoteFX vGPU е стар. Той беше въведен в Windows 7 и сега е изправен пред уязвимост при отдалечено изпълнение на код. Уязвимост при отдалечено изпълнение на код съществува, когато Hyper-V RemoteFX vGPU на хост сървър не успее да потвърди правилно входа от удостоверен потребител в операционна система за гост. Това се случва, когато Hyper-V RemoteFX vGPU на хост сървър не успее да потвърди правилно входа от удостоверен потребител на гост операционна система, когато нападателят стартира създадено приложение на гост ОС, което атакува отделни видео драйвери на трети страни, работещи на Hyper -V домакин.

След като нападателят има достъп, той може да стартира произволен код на хост OS. Тъй като това е архитектурен проблем, няма решение за него.

Алтернативи на RemoteFX vGPU

Единствената опция е да използвате алтернативен vGPU, който може да бъде от приложения на трети страни или Microsoft предлага да използвате Discrete Device Assignment ( DDA ). Позволява ви да поставите цялото PCIe устройство^{(PCIe Device)} във виртуална машина. Можете не само да разрешите достъп до графични^(Graphics) автомобили, но също така можете да споделяте съхранение на NVMe .

Най-голямото предимство на DDA , освен че е сигурен, няма нужда да инсталирате драйвери на хоста, преди устройството да бъде монтирано във VM. Докато VM може да идентифицира PCIe местоположението^{(PCIe Location)} на устройството , може да се определи пътят^(Path) за VM да го монтира. Накратко, DDA предава GPU на VM позволява на собствения GPU драйвер да се използва във VM и всички възможности. Това включва DirectX 12 , CUDA и др., което не беше възможно с RemoteFX v GPU .

Как да активирате отново RemoteFX vGPU

Microsoft ясно предупреждава, че не трябва да използвате RemoteFX vGPU, но ако трябва, има начин да го активирате отново на свой собствен риск.

Ако приемем, че вече сте конфигурирали RemoteFX vGPU 3D адаптера, ето подробностите, които ще работят само на Windows 10 , версия 1803 и по-ранни версии

Конфигурирайте RemoteFX vGPU с Hyper-V Manager

За да конфигурирате RemoteFX vGPU 3D с помощта на Hyper-V Manager , следвайте тези стъпки:

• Спрете виртуалната машина
• Отворете Hyper-V Manager и отидете до  Настройки на VM^{(VM Settings)} .
• Щракнете върху Добавяне на хардуер.
• Изберете RemoteFX 3D Graphics Adapter и след това изберете  Добавяне^(Add) .

Конфигурирайте RemoteFX vGPU с командлети на PowerShell

• Активиране на VMRemoteFXPhysicalVideoAdapter
• Add-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFx3dVideoAdapter
• Set-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFXPhysicalVideoAdapter

Можете да прочетете повече за това тук в Microsoft.^{(about it here on Microsoft.)}

Windows 10 disables support for RemoteFX vGPU; Can you re-enable it?

Microsоft has releаsеd a security update—KB4571756—which will disable the RemoteFX vGPU feature because of a security vulnerability. It applies to Windows 10, version 2004, and all editions Windows Server version 2004.

Post this update, any VM that has RemoteFX vGPU enabled will fail with the following error messages:

• The virtual machine cannot be started because all the RemoteFX-capable GPUs are disabled in Hyper-V Manager.
• The virtual machine cannot be started because the server has insufficient GPU resources.

Even if the end-user tries to re-enable the RemoteFX vGPU, the VM will display the error message—

We no longer support the RemoteFX 3D video adapter. If you are still using this adapter, you may become vulnerable to security risk.

What is the RemoteFX vGPU feature?

When running Virtual Machines, the RemoteFX vGPU feature lets you share the physical GPU. The feature fits well when physical GPU is too much of a resource, but instead, all VMs can dynamically share the GPU for their workload. The advantage is, of course, the reduction in the cost of GPU and decreasing CPU load. If you want to imagine, it is like running multiple DirectX applications at the same time on the same physical GPU.  So instead of buying 4 GPUs, one GPU could help, depending on the workload. It also came with countermeasures that restricted the overuse of physical GPU.

What is the security vulnerability around RemoteFX vGPU?

RemoteFX vGPU is old. It was introduced in Windows 7 and is now facing a remote code execution vulnerability. A remote code execution vulnerability exists when Hyper-V RemoteFX vGPU on a host server fails to properly validate input from an authenticated user on a guest operating system. It happens when Hyper-V RemoteFX vGPU on a host server fails to properly validate input from an authenticated user on a guest operating system when an attacker runs a crafted application on a guest OS, which attacks individual third-party video drivers running on the Hyper-V host.

Once the attacker has access, he can run any code on the host OS. Since this is an architectural issue, there is no fix for it.

Alternatives to RemoteFX vGPU

The only option is to use an alternate vGPU, which could be from third-party applications or Microsoft suggests using Discrete Device Assignment (DDA). It allows you to entire PCIe Device into a VM. Not only can you allow access to Graphics cars, but you can also share NVMe storage.

The biggest advantage of DDA apart from that it’s secure, there is no need to install drivers on the host before the device being mounted within the VM. As long as VM can identify the device’s PCIe Location, the Path can be determined for the VM to mount it. In short, DDA passing a GPU to a VM allows the native GPU driver to be used within the VM and all capabilities. That includes DirectX 12, CUDA, etc., which was not possible with RemoteFX vGPU.

How to re-enable RemoteFX vGPU

Microsoft clearly warns that you should not be using the RemoteFX vGPU, but if you have to, there is a way to enable it again at your own risk.

Assuming you have already configured the RemoteFX vGPU 3D adapter, here are the details that will work only on Windows 10, version 1803, and earlier versions

Configure RemoteFX vGPU with Hyper-V Manager

To configure the RemoteFX vGPU 3D by using Hyper-V Manager, follow these steps:

• Stop the Virtual Machine
• Open Hyper-V Manager and navigate to VM Settings.
• Click on Add Hardware.
• Select RemoteFX 3D Graphics Adapter, and then select Add.

Configure RemoteFX vGPU with PowerShell cmdlets

• Enable-VMRemoteFXPhysicalVideoAdapter
• Add-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFx3dVideoAdapter
• Set-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFXPhysicalVideoAdapter

You can read more about it here on Microsoft.

Related posts

• Как да използвате и добавяте работни/училищни акаунти към приложението Microsoft Authenticator

• Как да деактивирате преносими класове за съхранение и достъп в Windows 10

• Изтрийте файлове за постоянно, като използвате безплатния софтуер за унищожаване на файлове за Windows

• Tiny Security Suite ви помага да шифровате, раздробявате и защитавате файлове на вашия компютър

• Как да нулирате приложението за защита на Windows в Windows 11/10

• OpenDNS преглед - безплатен DNS с родителски контрол и скорост

• Мошен софтуер за сигурност или Scareware: Как да проверите, предотвратите, премахнете?

• Защитете главния запис за зареждане на вашия компютър с MBR филтър

• Как да добавите изключване на файл или процес към сигурността на Windows

• Защитата на Windows казва, че няма доставчици на сигурност в Windows 11/10

• Обяснение на реакцията при инциденти: етапи и софтуер с отворен код

• Как да избегнете гледане през собствения си компютър?

• Как да скриете или покажете иконата за защита на Windows в лентата на задачите на Windows 10

• Деактивирайте въпросите за сигурност в Windows 11/10 с помощта на PowerShell скрипт

• 10 най-добри настройки за мащабиране за сигурност и поверителност

• Грешка при неуспешна проверка на сигурността на ядрото в Windows 11/10

• Как да защитите своя WiFi - знайте кои са свързани

• Статия за интернет сигурност и съвети за потребители на Windows

• Netcam Studio: Система за наблюдение всичко в едно за Windows

• TACHYON Internet Security е прилична алтернатива на други безплатни инструменти