Този вторник Microsoft предупреди клиентите си да поправят критична уязвимост в TCP/IP за отдалечено изпълнение на код (RCE) с повишена вероятност за експлоатация, която засяга всички системи Windows, използващи IPv6, който е активиран по подразбиране.
Открита от Чжао Вей от Kunlun Lab и проследена като CVE-2024-38063, тази грешка в сигурността се дължи на слабост Integer Underflow, която нападателите могат да използват, за да предизвикат препълване на буфера, което може да се използва за изпълнение на произволен код в уязвими системи Windows 10, Windows 11 и Windows Server.
„Като се има предвид вредата от нея, няма да разкривам повече подробности в краткосрочен план“, пише изследователят на сигурността в Twitter, като добавя, че блокирането на IPv6 в локалната защитна стена на Windows няма да блокира експлойтите, тъй като уязвимостта се задейства преди да бъде обработена от защитната стена.
Както Microsoft обясни в своята консултация от вторник, неавтентифицирани нападатели могат да използват недостатъка от разстояние при атаки с ниска сложност чрез многократно изпращане на IPv6 пакети, които включват специално създадени пакети.
Microsoft също така сподели своята оценка на възможността за експлоатиране на тази критична уязвимост, маркирайки я с етикет „експлоатиране по-вероятно“, което означава, че заплахите могат да създадат код за експлоатиране, за да „използват последователно дефекта в атаки“.
„Освен това на Microsoft са известни минали случаи на експлоатиране на този тип уязвимост. Това би я направило привлекателна цел за атакуващите и следователно по-вероятно е да бъдат създадени експлойти“, обясняват от Редмънд.
„По този начин клиентите, които са прегледали актуализацията за сигурност и са определили нейната приложимост в своята среда, трябва да се отнесат към нея с по-висок приоритет.“
Като мярка за смекчаване на последиците за тези, които не могат да инсталират незабавно актуализациите за сигурност на Windows от тази седмица, Microsoft препоръчва да се деактивира IPv6, за да се премахне повърхността за атаки.
На своя уебсайт за поддръжка обаче компанията казва, че стекът на мрежовия протокол IPv6 е „задължителна част от Windows Vista и Windows Server 2008 и по-новите версии“ и не препоръчва да се изключва IPv6 или неговите компоненти, защото това може да доведе до спиране на работата на някои други важни компоненти на Windows.
Ръководителят на отдела за повишаване на осведомеността за заплахите в инициативата Zero Day на Trend Micro Дъстин Чайлдс също определи грешката CVE-2024-38063 като една от най-сериозните уязвимости, поправени от Microsoft през този вторник на кръпките, отбелязвайки я като уязвимост, която може да бъде червена.
„Най-лош вероятно е бъгът в TCP/IP, който би позволил на отдалечен, неавтентифициран нападател да получи повишено изпълнение на код само чрез изпращане на специално създадени IPv6 пакети до засегната цел“, каза Чайлдс.
„Това означава, че може да бъде отстранен. Можете да деактивирате IPv6, за да предотвратите този експлойт, но IPv6 е активиран по подразбиране на почти всичко.“
Макар че Microsoft и други компании предупредиха потребителите на Windows да закърпят системите си възможно най-скоро, за да блокират потенциални атаки, използващи експлойта CVE-2024-38063, това не е първата и вероятно няма да бъде последната уязвимост на Windows, използваема с помощта на IPv6 пакети.
През последните четири години Microsoft е закърпила множество други проблеми с IPv6, включително два TCP/IP недостатъка, проследени като CVE-2020-16898/9 (наричани още Ping of Death), които могат да бъдат използвани за атаки с отдалечено изпълнение на код (RCE) и отказ на услуга (DoS) чрез злонамерени ICMPv6 Router Advertisement пакети.
Освен това грешка във фрагментирането на IPv6 (CVE-2021-24086) прави всички версии на Windows уязвими към DoS атаки, а недостатък в DHCPv6 (CVE-2023-28231) дава възможност за получаване на RCE със специално създадено извикване.
Въпреки че нападателите все още не са ги използвали в широко разпространени атаки, насочени към всички устройства с Windows, поддържащи IPv6, на потребителите все пак се препоръчва незабавно да приложат актуализациите за сигурност на Windows от този месец поради повишената вероятност за използване на CVE-2024-38063.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.