Microsoft je objavio sigurnosno ažuriranje — KB4571756 — koje će onemogućiti značajku RemoteFX vGPU zbog sigurnosne ranjivosti. Primjenjuje se na Windows 10, verziju 2004^{(Windows 10, version 2004)} , i sva izdanja Windows Server verzije 2004.

Objavite ovo ažuriranje, svaki VM koji ima omogućen RemoteFX vGPU neće uspjeti sa sljedećim porukama pogreške:

• Virtualni stroj se ne može pokrenuti jer su svi GPU^(GPUs) -ovi koji podržavaju RemoteFX onemogućeni u Hyper-V Manageru^{(Hyper-V Manager)} .
• Virtualni stroj se ne može pokrenuti jer poslužitelj nema dovoljno GPU resursa.

Čak i ako krajnji korisnik pokuša ponovno omogućiti RemoteFX vGPU, VM će prikazati poruku o pogrešci—

We no longer support the RemoteFX 3D video adapter. If you are still using this adapter, you may become vulnerable to security risk.

Što je RemoteFX vGPU značajka?

Prilikom pokretanja virtualnih strojeva , značajka RemoteFX v GPU omogućuje vam dijeljenje fizičkog GPU -a . Značajka se dobro uklapa kada je fizički GPU prevelik resurs, ali umjesto toga, svi VM^(VMs) -ovi mogu dinamički dijeliti GPU za svoje radno opterećenje. Prednost je, naravno, smanjenje cijene GPU -a i smanjenje opterećenja CPU-a . ^(CPU)Ako želite zamisliti, to je poput pokretanja više DirectX aplikacija u isto vrijeme na istom fizičkom GPU -u . Dakle, umjesto kupovine 4 GPU-^(GPUs) a , jedan GPUmože pomoći, ovisno o opterećenju. Također je došao s protumjerama koje su ograničile prekomjernu upotrebu fizičkog GPU -a .

Koja je sigurnosna ranjivost oko RemoteFX vGPU-a?

RemoteFX vGPU je star. Predstavljen je u sustavu Windows 7^{(Windows 7)} i sada se suočava s ranjivosti daljinskog izvršavanja koda. Ranjivost daljinskog izvršavanja koda postoji kada Hyper-V RemoteFX vGPU na poslužitelju glavnog računala ne uspije ispravno potvrditi unos provjerenog korisnika na gostujućem operativnom sustavu. Događa se kada Hyper-V RemoteFX vGPU na host poslužitelju ne uspije ispravno potvrditi unos autentificiranog korisnika na gostujućem operativnom sustavu kada napadač pokrene izrađenu aplikaciju na gostujućem OS-u, koja napada pojedinačne video drajvere treće strane koji rade na Hyperu -V^(Hyper-V) domaćin.

Nakon što napadač ima pristup, može pokrenuti bilo koji kod na glavnom OS-u. Budući da je ovo arhitektonski problem, nema rješenja za njega.

Alternative RemoteFX vGPU

Jedina opcija je korištenje zamjenskog vGPU-a, koji može biti iz aplikacija trećih strana ili Microsoft predlaže korištenje Discrete Device Assignment ( DDA ). Omogućuje vam da cijeli PCIe uređaj^{(PCIe Device)} pretvorite u VM. Ne samo da možete dopustiti pristup grafičkim^(Graphics) automobilima, već možete i dijeliti NVMe pohranu.

Najveća prednost DDA osim što je siguran, nema potrebe za instaliranjem drajvera na host prije nego što se uređaj montira unutar VM-a. Sve dok VM može identificirati PCIe lokaciju^{(PCIe Location)} uređaja , može se odrediti put za VM da ga montira. ^(Path)Ukratko, DDA prosljeđivanje GPU -a na VM omogućuje korištenje izvornog GPU drajvera unutar VM-a i svih mogućnosti. To uključuje DirectX 12 , CUDA , itd., što nije bilo moguće s RemoteFX v GPU .

Kako ponovno omogućiti RemoteFX vGPU

Microsoft jasno upozorava da ne biste trebali koristiti RemoteFX vGPU, ali ako morate, postoji način da ga ponovno omogućite na vlastitu odgovornost.

Pod pretpostavkom da ste već konfigurirali RemoteFX vGPU 3D adapter, evo pojedinosti koje će raditi samo na Windows 10 , verziji 1803 i starijim verzijama

Konfigurirajte RemoteFX vGPU pomoću Hyper-V Managera^{(Hyper-V Manager)}

Da biste konfigurirali RemoteFX vGPU 3D pomoću Hyper-V Managera^{(Hyper-V Manager)} , slijedite ove korake:

• Zaustavite virtualni stroj
• Otvorite Hyper-V Manager i idite na  Postavke VM^{(VM Settings)} -a .
• Kliknite na Dodaj hardver.
• Odaberite RemoteFX 3D grafički adapter^{(Graphics Adapter)} , a zatim odaberite  Dodaj^(Add) .

Konfigurirajte RemoteFX vGPU s PowerShell cmdletima

• Enable-VMRemoteFXPhysicalVideoAdapter
• Add-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFx3dVideoAdapter
• Set-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFXPhysicalVideoAdapter

Više o tome možete pročitati ovdje na Microsoftu.^{(about it here on Microsoft.)}

Windows 10 disables support for RemoteFX vGPU; Can you re-enable it?

Microsoft has released a sеcurity update—KB4571756—which will disable the RemoteFX vGPU feature because of a security vulnerability. It applies to Windows 10, version 2004, and all editions Windows Server version 2004.

Post this update, any VM that has RemoteFX vGPU enabled will fail with the following error messages:

• The virtual machine cannot be started because all the RemoteFX-capable GPUs are disabled in Hyper-V Manager.
• The virtual machine cannot be started because the server has insufficient GPU resources.

Even if the end-user tries to re-enable the RemoteFX vGPU, the VM will display the error message—

We no longer support the RemoteFX 3D video adapter. If you are still using this adapter, you may become vulnerable to security risk.

What is the RemoteFX vGPU feature?

When running Virtual Machines, the RemoteFX vGPU feature lets you share the physical GPU. The feature fits well when physical GPU is too much of a resource, but instead, all VMs can dynamically share the GPU for their workload. The advantage is, of course, the reduction in the cost of GPU and decreasing CPU load. If you want to imagine, it is like running multiple DirectX applications at the same time on the same physical GPU.  So instead of buying 4 GPUs, one GPU could help, depending on the workload. It also came with countermeasures that restricted the overuse of physical GPU.

What is the security vulnerability around RemoteFX vGPU?

RemoteFX vGPU is old. It was introduced in Windows 7 and is now facing a remote code execution vulnerability. A remote code execution vulnerability exists when Hyper-V RemoteFX vGPU on a host server fails to properly validate input from an authenticated user on a guest operating system. It happens when Hyper-V RemoteFX vGPU on a host server fails to properly validate input from an authenticated user on a guest operating system when an attacker runs a crafted application on a guest OS, which attacks individual third-party video drivers running on the Hyper-V host.

Once the attacker has access, he can run any code on the host OS. Since this is an architectural issue, there is no fix for it.

Alternatives to RemoteFX vGPU

The only option is to use an alternate vGPU, which could be from third-party applications or Microsoft suggests using Discrete Device Assignment (DDA). It allows you to entire PCIe Device into a VM. Not only can you allow access to Graphics cars, but you can also share NVMe storage.

The biggest advantage of DDA apart from that it’s secure, there is no need to install drivers on the host before the device being mounted within the VM. As long as VM can identify the device’s PCIe Location, the Path can be determined for the VM to mount it. In short, DDA passing a GPU to a VM allows the native GPU driver to be used within the VM and all capabilities. That includes DirectX 12, CUDA, etc., which was not possible with RemoteFX vGPU.

How to re-enable RemoteFX vGPU

Microsoft clearly warns that you should not be using the RemoteFX vGPU, but if you have to, there is a way to enable it again at your own risk.

Assuming you have already configured the RemoteFX vGPU 3D adapter, here are the details that will work only on Windows 10, version 1803, and earlier versions

Configure RemoteFX vGPU with Hyper-V Manager

To configure the RemoteFX vGPU 3D by using Hyper-V Manager, follow these steps:

• Stop the Virtual Machine
• Open Hyper-V Manager and navigate to VM Settings.
• Click on Add Hardware.
• Select RemoteFX 3D Graphics Adapter, and then select Add.

Configure RemoteFX vGPU with PowerShell cmdlets

• Enable-VMRemoteFXPhysicalVideoAdapter
• Add-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFx3dVideoAdapter
• Set-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFXPhysicalVideoAdapter

You can read more about it here on Microsoft.

Related posts

• Kako koristiti i dodati poslovne/školske račune u aplikaciju Microsoft Authenticator

• Kako onemogućiti prijenosne klase pohrane i pristup u sustavu Windows 10

• Trajno izbrišite datoteke pomoću besplatnog softvera File Shredder za Windows

• Tiny Security Suite pomaže vam šifriranje, uništavanje i zaštitu datoteka na vašem računalu

• Kako resetirati aplikaciju Windows Security u sustavu Windows 11/10

• Zaštitite glavni zapis za pokretanje računala pomoću MBR filtra

• Rogue Security Software ili Scareware: Kako provjeriti, spriječiti, ukloniti?

• Kako osigurati svoj WiFi - znajte tko je povezan

• Savjeti za prijavu i prijavu na LinkedIn za sigurnost i privatnost

• 10 najboljih postavki zumiranja za sigurnost i privatnost

• Kako isključiti obavijesti o sigurnosti i održavanju u sustavu Windows 11/10

• Najbolji besplatni softver Internet Security Suite za Windows 11/10 PC

• Ograničite USB pristup računalu sa sustavom Windows 10 pomoću Ratoola

• Kako koristiti GoPro kao sigurnosnu kameru

• Objašnjenje odgovora na incident: faze i softver otvorenog koda

• Test sigurnosti preglednika da provjerite je li vaš preglednik siguran

• Pretvorite potencijalno opasne PDF-ove, dokumente i slike u sigurne datoteke

• Onemogućite sigurnosna pitanja u sustavu Windows 11/10 pomoću PowerShell skripte

• Zaključajte ikone na radnoj površini ili aplikacije za zaštitu lozinkom u sustavu Windows - DeskLock

• Sigurnosne postavke sustava Windows u sustavu Windows 10