Skip links

O TCP/IP RCE do Windows com zero clique afeta todos os sistemas com IPv6 habilitado, corrija agora

A Microsoft alertou os clientes nesta terça-feira para corrigir uma vulnerabilidade crítica de execução remota de código (RCE) TCP/IP com maior probabilidade de exploração que afeta todos os sistemas Windows que usam IPv6, que é habilitado por padrão.

Encontrado por XiaoWei da Kunlun Lab e rastreado como CVE-2024-38063, esse bug de segurança é causado por uma fraqueza do Integer Underflow, que os invasores podem explorar para acionar estouros de buffer que podem ser usados para executar código arbitrário em sistemas vulneráveis do Windows 10, Windows 11 e Windows Server.

“Considerando seus danos, não divulgarei mais detalhes no curto prazo”, tuitou o pesquisador de segurança, acrescentando que o bloqueio do IPv6 no firewall local do Windows não bloqueará explorações porque a vulnerabilidade é acionada antes de ser processada pelo firewall.

Como a Microsoft explicou em seu comunicado de terça-feira, invasores não autenticados podem explorar a falha remotamente em ataques de baixa complexidade, enviando repetidamente pacotes IPv6 que incluem pacotes especialmente criados.

A Microsoft também compartilhou sua avaliação de exploração para essa vulnerabilidade crítica, marcando-a com um rótulo de “exploração mais provável”, o que significa que os agentes de ameaças podem criar código de exploração para “explorar consistentemente a falha nos ataques”.

“Além disso, a Microsoft está ciente de instâncias anteriores desse tipo de vulnerabilidade sendo exploradas. Isso o tornaria um alvo atraente para invasores e, portanto, mais provável que explorações pudessem ser criadas”, explica Redmond.

“Como tal, os clientes que revisaram a atualização de segurança e determinaram sua aplicabilidade em seu ambiente devem tratá-la com uma prioridade mais alta.”

Como medida de mitigação para aqueles que não podem instalar imediatamente as atualizações de segurança do Windows desta semana, a Microsoft recomenda desabilitar o IPv6 para remover a superfície de ataque.

No entanto, em seu site de suporte, a empresa diz que a pilha de protocolos de rede IPv6 é uma “parte obrigatória do Windows Vista e Windows Server 2008 e versões mais recentes” e não recomenda desativar o IPv6 ou seus componentes, pois isso pode fazer com que alguns componentes do Windows parem de funcionar.

Vulnerabilidade wormable

O chefe de conscientização sobre ameaças da Zero Day Initiative da Trend Micro, Dustin Childs, também rotulou o bug CVE-2024-38063 como uma das vulnerabilidades mais graves corrigidas pela Microsoft neste Patch Tuesday, marcando-o como uma falha wormable.

“O pior é provavelmente o bug no TCP/IP que permitiria que um invasor remoto e não autenticado obtivesse uma execução de código elevada apenas enviando pacotes IPv6 especialmente criados para um alvo afetado”, disse Childs.

“Isso significa que é vermes. Você pode desativar o IPv6 para evitar essa exploração, mas o IPv6 é ativado por padrão em quase tudo.”

Embora a Microsoft e outras empresas tenham alertado os usuários do Windows para corrigir seus sistemas o mais rápido possível para bloquear possíveis ataques usando exploits CVE-2024-38063, esta não é a primeira e provavelmente não será a última vulnerabilidade do Windows explorável usando pacotes IPv6.

Nos últimos quatro anos, a Microsoft corrigiu vários outros problemas de IPv6, incluindo duas falhas de TCP/IP rastreadas como CVE-2020-16898/9 (também chamadas de Ping of Death), que podem ser exploradas em execução remota de código (RCE) e ataques de negação de serviço (DoS) usando pacotes maliciosos de anúncio de roteador ICMPv6.

Além disso, um bug de fragmentação IPv6 (CVE-2021-24086) deixou todas as versões do Windows vulneráveis a ataques DoS, e uma falha DHCPv6 (CVE-2023-28231) possibilitou obter RCE com uma chamada especialmente criada.

Embora os invasores ainda não os explorem em ataques generalizados direcionados a todos os dispositivos Windows habilitados para IPv6, os usuários ainda são aconselhados a aplicar as atualizações de segurança do Windows deste mês imediatamente devido ao aumento da probabilidade de exploração do CVE-2024-38063.


Fonte: Bleepingcomputer

This website uses cookies to improve your web experience.