Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Nowy „ping śmierci”, który celuje w Windowsy. Krytyczna podatność: (ICMP) Remote Code Execution Vulnerability. CVE-2023-23415
Aktualizacja: luka posiada pewien istotny prerekwizyt (raw socket), który jest wymagany do exploitacji – szczegóły tutaj.
Niedawno wydana łatka została przygotowana dla praktycznie wszystkich wersji Windows (serwerowe – od Windows Server 2008 w górę oraz klienckie). Opis jest dość skąpy, poza wskazaniem że podatność jest krytyczna, eksploitacja nie wymaga uwierzytelnienia, oraz jest związana z fragmentacją IP:
An attacker could send a low-level protocol error containing a fragmented IP packet inside another ICMP packet in its header to the target machine. To trigger the vulnerable code path, an application on the target must be bound to a raw socket.
Przy odrobinie nieszczęścia, podatność będzie się dało wyeksploitować do wykonania kodu w atakowanym systemie (tytułowe RCE) i to z wysokimi uprawnieniami. Gdyby to okazało się możliwe – czeka nas prawdziwa tragedia. Trzymamy kciuki zatem żeby był maksymalnie to „tylko DoS” – czyli możliwość zawieszenia/restartu atakowanej maszyny.
Łatajcie się.
~Michał Sajdak
Problem dotyczy przede wszystkim na komputery które są atakowane bezpośrednio z sieci LAN lub wystawione na światło publiczne serwery z Windows jeżeli mają otwarty port icmp?
Zamknięcie portu chroni przed atakiem?
Z opisu na stronie Microsoftu nie nwynika, czy zablokowanie na lokalnym firewallu pingów z internetu rozwiązuje problem. W końcu nawet zablokowany pakiet musi zostać przeczytany.
Jedyny pewny sposób to schowanie Windowsów za proxy ma Innym Systemie Operacyjnym, lub dedykowanym firewallem.
ICMP nie działa na porcie :)
WD blokuje icmp by default
Raczej nie będzie to aż takie krytyczne, ale i tak trzeba latać https://doublepulsar.com/a-look-at-cve-2023-23415-a-windows-icmp-vulnerability-mitigations-which-is-not-a-cyber-meltdown-78a9f7e3e538