Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Microsoft łata RCE przez IPv6 w Windows
Microsoft w ostatnim Patch Tuesday (termin określający drugi wtorek miesiąca, w którym część producentów oprogramowania wypuszcza łatki i aktualizacje – pojęcie dotyczy zwłaszcza firmy Microsoft) wydał poprawkę, która łata podatność CVE-2024-38063. Uzyskała ona bardzo wysoką punktację CVSS wynoszącą 9.8. W ocenie badaczy atak jest łatwy technicznie do przeprowadzenia, nie wymaga uwierzytelnienia od atakującego, może zostać przeprowadzony zdalnie i skutkuje wykonaniem kodu na podatnym systemie.
Chociaż Microsoft nie publikuje dokładnych informacji o załatanej podatności, to z opisu błędu wynika, że znajduje się on w obsłudze stosu TCP/IP, dokładniej w części odpowiedzialnej za obsługę IPv6. Dotknięte podatnością są wszystkie wersje systemu Windows.
MSRC
How could an attacker exploit this vulnerability?
An unauthenticated attacker could repeatedly send IPv6 packets, that include specially crafted packets, to a Windows machine which could enable remote code execution.
W chwili gdy to piszemy, nie są znane publiczne PoCe (Proof of Concept) i nie ma sygnałów dotyczących aktywnego wykorzystywania podatności. Jednak sytuacja zapewne zmieni się w najbliższych dniach, dlatego zalecamy jak najszybszą aktualizację systemów. Tym bardziej, że ostatni Patch Tuesday załatał 6 innych, aktywnie wykorzystywanych, podatności.
Jako tymczasowe zabezpieczenie, do czasu wdrożenia patcha, może posłużyć wyłączenie obsługi IPv6 w systemie. Oczywiście jest to obejście możliwe do wykorzystania tylko tam, gdzie IPv6 nie jest niezbędne do działania usług.
Więcej informacji o podatności znajdziecie na stronie Microsoft.
~Paweł Różański
Ja się tak trochę cykam ipv6 od zawsze, dlatego siedzę za NATem.
Nie wiem po co się „wystawiać” jak nie trzeba.
Same reguły w iptables do ipv6 są nie wystarczające dla mnie.
Jakbym miał swój serwer to bym nad tym posiedział, ale fenomen obsługi ipv6 przez smark tv i wpychanie go do urządzeń IoT sprawia, że załącza mi się czujność rewolucyjna.
A Wy jak robicie?
https://www.f5.com/resources/white-papers/the-myth-of-network-address-translation-as-security
My robimy tak, ze kontrolujemy co w naszej sieci dostaje IPv6 i np TV nie ma na tej liscie. Do tego na routerze zamykamy domyslnie wszystkie porty i mimo, ze klient (nawet TV) ma polaczenie z IPv6 to i tak z zewnatrz nie mozna sie dostac do jego ewentualnych uslug. Nie wiem na czym polega dokladnie blad w Windowsie ale wyglada na to, ze podatne sa systemy wystawione do internetu bez firewalla.
Jest pełno wystawionych maszyn z Windows Server z usługami po IPv6 których nie można wyłączyć, dodatkowo nie wiadomo czy chodzi wyłącznie o połączenia przychodzące, czy też połączenia wychodzące z Windowsa są też podatne, bo jeśli tak to wystarczy przygotować specjalny serwer http który odpali RCE przy połączenia z nim po IPv6
15 sekund w wyszukiwarce:
While the NAT may provide a bit of obfuscation, by hiding your internal addresses, it is really this stateful firewall function that protects your network from unwanted intrusion.
https://www.internetsociety.org/blog/2015/01/ipv6-security-myth-3-no-ipv6-nat-means-less-security/
działa? działa
Nigdy nie mam włączonego ipv6 które się praktycznie nie używa, zawsze to potencjalna furtka.
To że ty na swoim kompie nie używasz, nie oznacza że się tego nie używa. Microsoft przy niektórych uslugach wręcz wymaga adresu ipv6 inaczej jej nie uruchomisz.
Windows w sieci lokalnej domyślnie komunikuje się po ipv6.