Zero-click Windows TCP/IP RCE afecta a todos los sistemas con IPv6

Iniciado por AXCESS, Agosto 15, 2024, 12:46:04 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Agosto 15, 2024, 12:46:04 AM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Microsoft advirtió a sus clientes este martes que parcheen una vulnerabilidad crítica de ejecución remota de código TCP/IP (RCE) con una mayor probabilidad de explotación que afecta a todos los sistemas Windows que utilizan IPv6, que está habilitado de forma predeterminada.

Este error de seguridad, descubierto por XiaoWei de Kunlun Lab y rastreado como CVE-2024-38063, está causado por una debilidad de desbordamiento de enteros, que los atacantes podrían explotar para provocar desbordamientos de búfer que se pueden utilizar para ejecutar código arbitrario en sistemas vulnerables de Windows 10, Windows 11 y Windows Server.

"Teniendo en cuenta su daño, no revelaré más detalles a corto plazo", tuiteó el investigador de seguridad, y agregó que bloquear IPv6 en el firewall local de Windows no bloqueará los exploits porque la vulnerabilidad se activa antes de que sea procesada por el firewall.

Como explicó Microsoft en su aviso del martes, los atacantes no autenticados pueden explotar la falla de forma remota en ataques de baja complejidad enviando repetidamente paquetes IPv6 que incluyen paquetes especialmente diseñados.

Microsoft también compartió su evaluación de explotabilidad para esta vulnerabilidad crítica, etiquetándola con una etiqueta de "explotación más probable", lo que significa que los actores de amenazas podrían crear código de explotación para "explotar constantemente la falla en los ataques".

"Además, Microsoft está al tanto de instancias pasadas de explotación de este tipo de vulnerabilidad. Esto la convertiría en un objetivo atractivo para los atacantes y, por lo tanto, es más probable que se puedan crear exploits", explica Redmond.

"Por lo tanto, los clientes que han revisado la actualización de seguridad y han determinado su aplicabilidad dentro de su entorno deben tratar esto con una mayor prioridad".

Como medida de mitigación para aquellos que no pueden instalar de inmediato las actualizaciones de seguridad de Windows de esta semana, Microsoft recomienda deshabilitar IPv6 para eliminar la superficie de ataque.

Sin embargo, en su sitio web de soporte, la compañía dice que la pila de protocolos de red IPv6 es una "parte obligatoria de Windows Vista y Windows Server 2008 y versiones más nuevas" y no recomienda desactivar IPv6 o sus componentes porque esto podría hacer que algunos componentes de Windows dejen de funcionar.

Vulnerabilidad susceptible de ser atacada por gusanos

El director de concienciación de amenazas de la Zero Day Initiative de Trend Micro, Dustin Childs, también etiquetó el error CVE-2024-38063 como una de las vulnerabilidades más graves corregidas por Microsoft este martes de parches, y lo etiquetó como un defecto susceptible de ser atacado por gusanos.

"El peor es probablemente el error en TCP/IP que permitiría a un atacante remoto no autenticado obtener una ejecución de código elevada simplemente enviando paquetes IPv6 especialmente diseñados a un objetivo afectado", dijo Childs.

"Eso significa que es susceptible de ser atacado por gusanos. Puede desactivar IPv6 para evitar esta explotación, pero IPv6 está habilitado de forma predeterminada en casi todo".

Si bien Microsoft y otras empresas advirtieron a los usuarios de Windows que parchearan sus sistemas lo antes posible para bloquear posibles ataques con exploits CVE-2024-38063, esta no es la primera y probablemente no será la última vulnerabilidad de Windows explotable mediante paquetes IPv6.

Durante los últimos cuatro años, Microsoft ha parcheado varios otros problemas de IPv6, incluidos dos fallos de TCP/IP identificados como CVE-2020-16898/9 (también llamados Ping of Death), que pueden explotarse en ataques de ejecución remota de código (RCE) y de denegación de servicio (DoS) mediante paquetes de anuncio de enrutador ICMPv6 maliciosos.

Además, un error de fragmentación de IPv6 ( CVE-2021-24086 ) dejó a todas las versiones de Windows vulnerables a ataques DoS, y un fallo de DHCPv6 ( CVE-2023-28231 ) hizo posible obtener RCE con una llamada especialmente diseñada.

Si bien los atacantes aún no los han explotado en ataques generalizados dirigidos a todos los dispositivos Windows con IPv6 habilitado, se recomienda a los usuarios que apliquen las actualizaciones de seguridad de Windows de este mes de inmediato debido a la mayor probabilidad de explotación de CVE-2024-38063.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario