Η Microsoft^(Microsoft) κυκλοφόρησε μια ενημέρωση ασφαλείας—KB4571756—η οποία θα απενεργοποιήσει τη δυνατότητα RemoteFX vGPU λόγω ευπάθειας ασφαλείας. Ισχύει για τα Windows 10, έκδοση 2004^{(Windows 10, version 2004)} και όλες τις εκδόσεις Windows Server έκδοση 2004.

Δημοσιεύστε αυτήν την ενημέρωση, οποιαδήποτε εικονική μηχανή που έχει ενεργοποιημένο το RemoteFX vGPU θα αποτύχει με τα ακόλουθα μηνύματα σφάλματος:

• Δεν είναι δυνατή η εκκίνηση της εικονικής μηχανής επειδή όλες οι GPU^(GPUs) με δυνατότητα RemoteFX είναι απενεργοποιημένες στο Hyper-V Manager .
• Δεν είναι δυνατή η εκκίνηση της εικονικής μηχανής επειδή ο διακομιστής δεν διαθέτει επαρκείς πόρους GPU .

Ακόμα κι αν ο τελικός χρήστης προσπαθήσει να ενεργοποιήσει ξανά το RemoteFX vGPU, το VM θα εμφανίσει το μήνυμα σφάλματος—

We no longer support the RemoteFX 3D video adapter. If you are still using this adapter, you may become vulnerable to security risk.

Τι είναι η δυνατότητα RemoteFX vGPU;

Όταν εκτελείτε εικονικές μηχανές , η δυνατότητα RemoteFX v GPU σάς επιτρέπει να μοιράζεστε τη φυσική GPU . Η δυνατότητα ταιριάζει καλά όταν η φυσική GPU είναι υπερβολικά μεγάλος πόρος, αλλά αντίθετα, όλα τα VM^(VMs) μπορούν να μοιράζονται δυναμικά τη GPU για τον φόρτο εργασίας τους. Το πλεονέκτημα είναι φυσικά η μείωση του κόστους της GPU και η μείωση του φορτίου της CPU . Αν θέλετε να φανταστείτε, είναι σαν να τρέχετε πολλές εφαρμογές DirectX ταυτόχρονα στην ίδια φυσική GPU . Αντί λοιπόν να αγοράσετε 4 GPU^(GPUs) , μία GPUθα μπορούσε να βοηθήσει, ανάλογα με τον φόρτο εργασίας. Συνοδευόταν επίσης με αντίμετρα που περιόρισαν την υπερβολική χρήση της φυσικής GPU .

Ποια είναι η ευπάθεια ασφαλείας γύρω από το RemoteFX vGPU;

Το RemoteFX^(RemoteFX) vGPU είναι παλιό. Παρουσιάστηκε στα Windows 7 και τώρα αντιμετωπίζει μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα. Υπάρχει μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα όταν το Hyper-V RemoteFX^{(Hyper-V RemoteFX)} vGPU σε έναν κεντρικό διακομιστή αποτυγχάνει να επικυρώσει σωστά την είσοδο από έναν πιστοποιημένο χρήστη σε ένα επισκέπτη λειτουργικό σύστημα. Συμβαίνει όταν το Hyper-V RemoteFX^{(Hyper-V RemoteFX)} vGPU σε έναν κεντρικό διακομιστή αποτυγχάνει να επικυρώσει σωστά την είσοδο από έναν πιστοποιημένο χρήστη σε ένα επισκέπτη λειτουργικό σύστημα, όταν ένας εισβολέας εκτελεί μια δημιουργημένη εφαρμογή σε ένα Guest OS, το οποίο επιτίθεται σε μεμονωμένα προγράμματα οδήγησης βίντεο τρίτων που εκτελούνται στο Hyper -V οικοδεσπότης.

Μόλις ο εισβολέας έχει πρόσβαση, μπορεί να εκτελέσει οποιονδήποτε κώδικα στο κεντρικό λειτουργικό σύστημα. Δεδομένου ότι αυτό είναι ένα αρχιτεκτονικό ζήτημα, δεν υπάρχει λύση για αυτό.

Εναλλακτικές λύσεις για το RemoteFX vGPU

Η μόνη επιλογή είναι να χρησιμοποιήσετε μια εναλλακτική vGPU, η οποία θα μπορούσε να προέρχεται από εφαρμογές τρίτων ή η Microsoft προτείνει τη χρήση Διακριτικής Εκχώρησης Συσκευών^{(Discrete Device Assignment)} ( DDA ). Σας επιτρέπει να μεταφέρετε ολόκληρη τη συσκευή PCIe^{(PCIe Device)} σε ένα VM. Όχι μόνο μπορείτε να επιτρέψετε την πρόσβαση σε αυτοκίνητα γραφικών^(Graphics) , αλλά μπορείτε επίσης να μοιραστείτε τον χώρο αποθήκευσης NVMe .

Το μεγαλύτερο πλεονέκτημα του DDA , εκτός από το ότι είναι ασφαλές, δεν χρειάζεται να εγκαταστήσετε προγράμματα οδήγησης στον κεντρικό υπολογιστή πριν η συσκευή τοποθετηθεί στο VM. Εφόσον η εικονική μηχανή μπορεί να προσδιορίσει τη θέση PCIe^{(PCIe Location)} της συσκευής , μπορεί να καθοριστεί η διαδρομή^(Path) για να την προσαρτήσει η εικονική μηχανή. Εν ολίγοις, το DDA μεταβιβάζοντας μια GPU σε ένα VM επιτρέπει στο εγγενές πρόγραμμα οδήγησης GPU να χρησιμοποιηθεί εντός του VM και όλων των δυνατοτήτων. Αυτό περιλαμβάνει DirectX 12 , CUDA , κ.λπ., κάτι που δεν ήταν δυνατό με το RemoteFX v GPU .

Πώς να ενεργοποιήσετε ξανά το RemoteFX vGPU

Η Microsoft^(Microsoft) προειδοποιεί ξεκάθαρα ότι δεν πρέπει να χρησιμοποιείτε το RemoteFX vGPU, αλλά αν χρειαστεί, υπάρχει τρόπος να το ενεργοποιήσετε ξανά με δική σας ευθύνη.

Υποθέτοντας ότι έχετε ήδη διαμορφώσει τον προσαρμογέα RemoteFX vGPU 3D, εδώ είναι οι λεπτομέρειες που θα λειτουργούν μόνο στα Windows 10 , έκδοση 1803 και προηγούμενες εκδόσεις

Διαμορφώστε το RemoteFX vGPU με το Hyper-V Manager^{(Hyper-V Manager)}

Για να διαμορφώσετε το RemoteFX vGPU 3D χρησιμοποιώντας το Hyper-V Manager , ακολουθήστε τα εξής βήματα:

• Σταματήστε την εικονική μηχανή
• Ανοίξτε το Hyper-V Manager^{(Hyper-V Manager)} και μεταβείτε στις  Ρυθμίσεις VM^{(VM Settings)} .
• Κάντε κλικ στο Προσθήκη υλικού.
• Επιλέξτε RemoteFX 3D Graphics Adapter και, στη συνέχεια, επιλέξτε  Προσθήκη^(Add) .

Διαμορφώστε το RemoteFX vGPU με cmdlet PowerShell

• Enable-VMRemoteFXPhysicalVideoAdapter
• Προσθήκη-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFx3dVideoAdapter
• Set-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFXPhysicalVideoAdapter

Μπορείτε να διαβάσετε περισσότερα σχετικά εδώ στη Microsoft.^{(about it here on Microsoft.)}

Windows 10 disables support for RemoteFX vGPU; Can you re-enable it?

Microsoft hаs released a security update—KB4571756—which will disable the RemoteFX vGPU feature because of a security vulnerability. It applies to Windows 10, version 2004, and all editions Windows Server version 2004.

Post this update, any VM that has RemoteFX vGPU enabled will fail with the following error messages:

• The virtual machine cannot be started because all the RemoteFX-capable GPUs are disabled in Hyper-V Manager.
• The virtual machine cannot be started because the server has insufficient GPU resources.

Even if the end-user tries to re-enable the RemoteFX vGPU, the VM will display the error message—

We no longer support the RemoteFX 3D video adapter. If you are still using this adapter, you may become vulnerable to security risk.

What is the RemoteFX vGPU feature?

When running Virtual Machines, the RemoteFX vGPU feature lets you share the physical GPU. The feature fits well when physical GPU is too much of a resource, but instead, all VMs can dynamically share the GPU for their workload. The advantage is, of course, the reduction in the cost of GPU and decreasing CPU load. If you want to imagine, it is like running multiple DirectX applications at the same time on the same physical GPU.  So instead of buying 4 GPUs, one GPU could help, depending on the workload. It also came with countermeasures that restricted the overuse of physical GPU.

What is the security vulnerability around RemoteFX vGPU?

RemoteFX vGPU is old. It was introduced in Windows 7 and is now facing a remote code execution vulnerability. A remote code execution vulnerability exists when Hyper-V RemoteFX vGPU on a host server fails to properly validate input from an authenticated user on a guest operating system. It happens when Hyper-V RemoteFX vGPU on a host server fails to properly validate input from an authenticated user on a guest operating system when an attacker runs a crafted application on a guest OS, which attacks individual third-party video drivers running on the Hyper-V host.

Once the attacker has access, he can run any code on the host OS. Since this is an architectural issue, there is no fix for it.

Alternatives to RemoteFX vGPU

The only option is to use an alternate vGPU, which could be from third-party applications or Microsoft suggests using Discrete Device Assignment (DDA). It allows you to entire PCIe Device into a VM. Not only can you allow access to Graphics cars, but you can also share NVMe storage.

The biggest advantage of DDA apart from that it’s secure, there is no need to install drivers on the host before the device being mounted within the VM. As long as VM can identify the device’s PCIe Location, the Path can be determined for the VM to mount it. In short, DDA passing a GPU to a VM allows the native GPU driver to be used within the VM and all capabilities. That includes DirectX 12, CUDA, etc., which was not possible with RemoteFX vGPU.

How to re-enable RemoteFX vGPU

Microsoft clearly warns that you should not be using the RemoteFX vGPU, but if you have to, there is a way to enable it again at your own risk.

Assuming you have already configured the RemoteFX vGPU 3D adapter, here are the details that will work only on Windows 10, version 1803, and earlier versions

Configure RemoteFX vGPU with Hyper-V Manager

To configure the RemoteFX vGPU 3D by using Hyper-V Manager, follow these steps:

• Stop the Virtual Machine
• Open Hyper-V Manager and navigate to VM Settings.
• Click on Add Hardware.
• Select RemoteFX 3D Graphics Adapter, and then select Add.

Configure RemoteFX vGPU with PowerShell cmdlets

• Enable-VMRemoteFXPhysicalVideoAdapter
• Add-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFx3dVideoAdapter
• Set-VMRemoteFx3dVideoAdapter
• Get-VMRemoteFXPhysicalVideoAdapter

You can read more about it here on Microsoft.

Related posts

• Τρόπος χρήσης και προσθήκης λογαριασμών Work/School στην εφαρμογή Microsoft Authenticator

• Πώς να απενεργοποιήσετε τις κλάσεις αφαιρούμενης αποθήκευσης και την πρόσβαση στα Windows 10

• Διαγράψτε μόνιμα αρχεία χρησιμοποιώντας δωρεάν λογισμικό File Shredder για Windows

• Το Tiny Security Suite σάς βοηθά να κρυπτογραφείτε, να τεμαχίζετε και να προστατεύετε αρχεία στον υπολογιστή σας

• Πώς να επαναφέρετε την εφαρμογή Windows Security στα Windows 11/10

• Πώς να αποφύγετε την παρακολούθηση μέσω του υπολογιστή σας;

• Συμβουλές για χρήστες email: Ασφαλίστε και προστατέψτε τον λογαριασμό email σας

• Μετατρέψτε δυνητικά επικίνδυνα PDF, έγγραφα και εικόνες σε ασφαλή αρχεία

• Το TACHYON Internet Security είναι μια αξιοπρεπής εναλλακτική λύση σε άλλα δωρεάν εργαλεία

• Η Ασφάλεια των Windows λέει ότι δεν υπάρχουν πάροχοι ασφάλειας στα Windows 11/10

• Πώς να ανοίξετε το Κέντρο ασφαλείας των Windows στα Windows 11/10

• 10 καλύτερες ρυθμίσεις ζουμ για ασφάλεια και απόρρητο

• Το καλύτερο δωρεάν λογισμικό Internet Security Suite για υπολογιστή Windows 11/10

• Γιατί εκκρεμεί η αλλαγή των πληροφοριών ασφαλείας του λογαριασμού μου Microsoft;

• Αλλάξτε τις ρυθμίσεις ασφαλείας των Windows άμεσα με το ConfigureDefender

• Τρόπος προσαρμογής των στοιχείων επικοινωνίας υποστήριξης στο Windows Security

• Περιορίστε την πρόσβαση USB στον υπολογιστή Windows 10 με το Ratool

• Netcam Studio: All-in-one σύστημα επιτήρησης για Windows

• Πώς να διατηρήσετε ασφαλείς ιστότοπους: Απειλές και αντιμετώπιση τρωτών σημείων

• Προστατέψτε το Master Boot Record του υπολογιστή σας με το φίλτρο MBR