Spoločnosť Microsoft^(Microsoft) vydala aktualizáciu zabezpečenia – KB4571756 – ktorá zakáže funkciu RemoteFX vGPU z dôvodu chyby zabezpečenia. Vzťahuje sa na Windows 10, verzia 2004^{(Windows 10, version 2004)} a všetky vydania Windows Server verzie 2004.

Po tejto aktualizácii zlyhá každý virtuálny počítač s povoleným RemoteFX vGPU s nasledujúcimi chybovými hláseniami:

• Virtuálny počítač nie je možné spustiť, pretože všetky GPU s podporou RemoteFX sú v ^(GPUs)Hyper-V Manager vypnuté .
• Virtuálny počítač nie je možné spustiť, pretože server nemá dostatok prostriedkov GPU .

Aj keď sa koncový používateľ pokúsi znova povoliť RemoteFX vGPU, VM zobrazí chybové hlásenie —

We no longer support the RemoteFX 3D video adapter. If you are still using this adapter, you may become vulnerable to security risk.

Čo je funkcia RemoteFX vGPU?

Pri spustení virtuálnych počítačov vám funkcia RemoteFX v GPU umožňuje zdieľať fyzický GPU . Táto funkcia sa hodí, keď je fyzický GPU príliš veľkým zdrojom, ale namiesto toho môžu všetky virtuálne počítače^(VMs) dynamicky zdieľať GPU pre svoje pracovné zaťaženie. Výhodou je samozrejme zníženie nákladov na GPU a zníženie zaťaženia CPU . Ak si chcete predstaviť, je to ako spustenie viacerých aplikácií DirectX súčasne na rovnakom fyzickom GPU . Takže namiesto nákupu 4 GPU^(GPUs) , jedného GPUmôže pomôcť v závislosti od pracovného zaťaženia. Prišiel aj s protiopatreniami, ktoré obmedzili nadmerné používanie fyzického GPU .

Aká je zraniteľnosť zabezpečenia v súvislosti s RemoteFX vGPU?

RemoteFX vGPU je starý. Bol predstavený v systéme Windows 7^{(Windows 7)} a teraz čelí zraniteľnosti pri vzdialenom spustení kódu. Chyba zabezpečenia na vzdialené spustenie kódu existuje, keď Hyper-V RemoteFX vGPU na hostiteľskom serveri nedokáže správne overiť vstup od overeného používateľa v hosťujúcom operačnom systéme. Stáva sa to, keď Hyper-V RemoteFX vGPU na hostiteľskom serveri nedokáže správne overiť vstup od overeného používateľa v hosťujúcom operačnom systéme, keď útočník spustí pripravenú aplikáciu na hosťujúcom OS, ktorá napadne jednotlivé ovládače videa tretích strán spustené na Hyper -V hostiteľ.

Akonáhle má útočník prístup, môže spustiť ľubovoľný kód na hostiteľskom OS. Keďže ide o architektonický problém, neexistuje žiadna oprava.

Alternatívy k RemoteFX vGPU

Jedinou možnosťou je použiť alternatívne vGPU, ktoré môže pochádzať z aplikácií tretích strán alebo Microsoft navrhuje použiť priradenie diskrétneho zariadenia^{(Discrete Device Assignment)} ( DDA ). Umožňuje vám preniesť celé zariadenie PCIe^{(PCIe Device)} do virtuálneho počítača. Nielenže môžete povoliť prístup k grafickým^(Graphics) autám, ale môžete tiež zdieľať úložisko NVMe .

Najväčšou výhodou DDA okrem toho, že je bezpečný, nie je potrebné inštalovať ovládače na hostiteľa pred tým, ako sa zariadenie pripojí k virtuálnemu počítaču. Pokiaľ vie virtuálny počítač identifikovať umiestnenie PCIe^{(PCIe Location)} zariadenia , môže byť určená cesta pre virtuálny počítač na pripojenie. ^(Path)Stručne povedané, DDA odovzdávanie GPU do VM umožňuje použitie natívneho ovládača GPU v rámci VM a všetkých možností. To zahŕňa DirectX 12 , CUDA atď., čo nebolo možné s RemoteFX v GPU .

Ako znova povoliť RemoteFX vGPU

Spoločnosť Microsoft^(Microsoft) jasne varuje, že by ste nemali používať RemoteFX vGPU, ale ak musíte, existuje spôsob, ako ho znova povoliť na vlastné riziko.

Za predpokladu, že ste už nakonfigurovali adaptér RemoteFX vGPU 3D, tu sú podrobnosti, ktoré budú fungovať iba v systéme Windows 10^{(Windows 10)} , verzii 1803 a starších verziách

Nakonfigurujte RemoteFX vGPU pomocou Hyper-V Manager

Ak chcete nakonfigurovať RemoteFX vGPU 3D pomocou Hyper-V Manager , postupujte takto:

• Zastavte virtuálny stroj
• Otvorte Hyper-V Manager a prejdite na  Nastavenia VM^{(VM Settings)} .
• Kliknite na Pridať hardvér.
• Vyberte 3D grafický adaptér^{(Graphics Adapter)} RemoteFX a potom vyberte  Pridať^(Add) .

Nakonfigurujte RemoteFX vGPU pomocou cmdletov PowerShell

• Enable-VMRemoteFXPhysicalVideoAdapter
• Pridajte VMRemoteFx3dVideoAdapter
• Get-VMRemoteFx3dVideoAdapter
• Set-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFXPhysicalVideoAdapter

Viac si o tom môžete prečítať tu na Microsofte.^{(about it here on Microsoft.)}

Windows 10 disables support for RemoteFX vGPU; Can you re-enable it?

Microsoft has released a security update—KB4571756—whiсh will disable the RemoteFX vGPU feature because of a security vulnerability. It applies to Windows 10, version 2004, and all editions Windows Server version 2004.

Post this update, any VM that has RemoteFX vGPU enabled will fail with the following error messages:

• The virtual machine cannot be started because all the RemoteFX-capable GPUs are disabled in Hyper-V Manager.
• The virtual machine cannot be started because the server has insufficient GPU resources.

Even if the end-user tries to re-enable the RemoteFX vGPU, the VM will display the error message—

We no longer support the RemoteFX 3D video adapter. If you are still using this adapter, you may become vulnerable to security risk.

What is the RemoteFX vGPU feature?

When running Virtual Machines, the RemoteFX vGPU feature lets you share the physical GPU. The feature fits well when physical GPU is too much of a resource, but instead, all VMs can dynamically share the GPU for their workload. The advantage is, of course, the reduction in the cost of GPU and decreasing CPU load. If you want to imagine, it is like running multiple DirectX applications at the same time on the same physical GPU.  So instead of buying 4 GPUs, one GPU could help, depending on the workload. It also came with countermeasures that restricted the overuse of physical GPU.

What is the security vulnerability around RemoteFX vGPU?

RemoteFX vGPU is old. It was introduced in Windows 7 and is now facing a remote code execution vulnerability. A remote code execution vulnerability exists when Hyper-V RemoteFX vGPU on a host server fails to properly validate input from an authenticated user on a guest operating system. It happens when Hyper-V RemoteFX vGPU on a host server fails to properly validate input from an authenticated user on a guest operating system when an attacker runs a crafted application on a guest OS, which attacks individual third-party video drivers running on the Hyper-V host.

Once the attacker has access, he can run any code on the host OS. Since this is an architectural issue, there is no fix for it.

Alternatives to RemoteFX vGPU

The only option is to use an alternate vGPU, which could be from third-party applications or Microsoft suggests using Discrete Device Assignment (DDA). It allows you to entire PCIe Device into a VM. Not only can you allow access to Graphics cars, but you can also share NVMe storage.

The biggest advantage of DDA apart from that it’s secure, there is no need to install drivers on the host before the device being mounted within the VM. As long as VM can identify the device’s PCIe Location, the Path can be determined for the VM to mount it. In short, DDA passing a GPU to a VM allows the native GPU driver to be used within the VM and all capabilities. That includes DirectX 12, CUDA, etc., which was not possible with RemoteFX vGPU.

How to re-enable RemoteFX vGPU

Microsoft clearly warns that you should not be using the RemoteFX vGPU, but if you have to, there is a way to enable it again at your own risk.

Assuming you have already configured the RemoteFX vGPU 3D adapter, here are the details that will work only on Windows 10, version 1803, and earlier versions

Configure RemoteFX vGPU with Hyper-V Manager

To configure the RemoteFX vGPU 3D by using Hyper-V Manager, follow these steps:

• Stop the Virtual Machine
• Open Hyper-V Manager and navigate to VM Settings.
• Click on Add Hardware.
• Select RemoteFX 3D Graphics Adapter, and then select Add.

Configure RemoteFX vGPU with PowerShell cmdlets

• Enable-VMRemoteFXPhysicalVideoAdapter
• Add-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFx3dVideoAdapter
• Set-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFXPhysicalVideoAdapter

You can read more about it here on Microsoft.

Related posts

• Ako používať a pridávať pracovné/školské kontá do aplikácie Microsoft Authenticator

• Ako zakázať triedy a prístup k vymeniteľnému úložisku v systéme Windows 10

• Natrvalo odstráňte súbory pomocou bezplatného softvéru File Shredder pre Windows

• Tiny Security Suite vám pomáha šifrovať, skartovať a chrániť súbory vo vašom počítači

• Ako resetovať aplikáciu Windows Security v systéme Windows 11/10

• Tipy pre používateľov e-mailu: Zabezpečte a chráňte svoj e-mailový účet

• Prihlásenie a prihlásenie na LinkedIn Tipy na zabezpečenie a ochranu osobných údajov

• Zabezpečenie systému Windows hovorí, že v systéme Windows 11/10 nie sú žiadni poskytovatelia zabezpečenia

• Váš správca IT zakázal zabezpečenie systému Windows

• Službu Centrum zabezpečenia systému Windows nie je možné spustiť

• Netcam Studio: All-in-one sledovací systém pre Windows

• Ako povoliť alebo zakázať upozornenia z Centra zabezpečenia systému Windows

• Ako nájsť účty prepojené s e-mailovou adresou a telefónnym číslom

• TACHYON Internet Security je slušnou alternatívou k iným bezplatným nástrojom

• Okamžite zmeňte nastavenia zabezpečenia systému Windows pomocou programu ConfigureDefender

• Ako pridať vylúčenie súboru alebo procesu do zabezpečenia systému Windows

• Zabezpečenie prehliadača Otestujte, či je váš prehliadač bezpečný

• Ako sa vyhnúť sledovaniu prostredníctvom vlastného počítača?

• Ako obnoviť povolenia súborov NTFS v systéme Windows 10

• Ako nastaviť bezpečnostný kľúč pre účet Microsoft