Microsoft выпустила критическое предупреждение для своих клиентов о значительной уязвимости удаленного выполнения кода (RCE) в TCP/IP, которая затрагивает все системы Windows, использующие IPv6, включенный по умолчанию. Уязвимость, отслеживаемая как CVE-2024-38063 и обнаруженная СяоВэй из Kunlun Lab, возникает из-за недостатка целочисленного переполнения. Этот дефект может позволить злоумышленникам использовать переполнение буфера, потенциально выполняя произвольный код на уязвимых системах, включая Windows 10, Windows 11 и Windows Server.
В недавнем твите исследователь безопасности подчеркнул серьезность уязвимости, заявив: «Учитывая ее вредоносность, я не буду раскрывать больше деталей в ближайшее время». Он также отметил, что простое блокирование IPv6 на локальном брандмауэре Windows не предотвратит эксплуатацию, так как уязвимость срабатывает до того, как брандмауэр обрабатывает пакеты.
Рекомендации Microsoft
Согласно рекомендации Microsoft, неаутентифицированные злоумышленники могут удаленно использовать этот дефект через атаки низкой сложности, отправляя специально сформированные пакеты IPv6. Компания оценила эксплуатацию этой критической уязвимости как «более вероятную», что указывает на то, что злоумышленники могут разработать эксплойт-код, способный последовательно нацеливаться на этот дефект.
Microsoft также признала, что ранее были случаи эксплуатации аналогичных уязвимостей, что делает этот конкретный дефект привлекательной целью для злоумышленников. В результате компания советует клиентам, которые ознакомились с обновлением безопасности, приоритетно внедрить его в своих средах.
Для тех, кто не может немедленно установить последние обновления безопасности Windows, Microsoft рекомендует отключить IPv6 как временную меру для уменьшения поверхности атаки. Однако компания предостерегает от полного отключения IPv6, так как это является «обязательной частью Windows Vista и Windows Server 2008 и новее», и это может нарушить работу некоторых компонентов Windows.
Уязвимость с возможностью червя
Дастин Чайлдс, глава отдела осведомленности об угрозах в Zero Day Initiative компании Trend Micro, классифицировал ошибку CVE-2024-38063 как одну из самых серьезных уязвимостей, устраненных Microsoft в этот вторник патчей, назвав ее уязвимостью с возможностью червя. «Худшее — это ошибка в TCP/IP, которая позволила бы удаленному неаутентифицированному злоумышленнику получить повышенные права выполнения кода просто отправив специально сформированные пакеты IPv6 на затронутую цель», — объяснил Чайлдс. Он добавил, что хотя отключение IPv6 могло бы снизить риск, оно включено по умолчанию на почти всех системах.
По мере того как Microsoft и другие организации призывают пользователей Windows незамедлительно обновить свои системы для защиты от потенциальных атак с использованием CVE-2024-38063, стоит отметить, что это не первая и не последняя уязвимость Windows, которую можно эксплуатировать через пакеты IPv6. За последние четыре года Microsoft устранила несколько других проблем, связанных с IPv6, включая две уязвимости TCP/IP, отслеживаемые как CVE-2020-16898/9 (известные как Ping of Death), которые могут быть использованы для удаленного выполнения кода (RCE) и атак отказа в обслуживании (DoS) через вредоносные пакеты ICMPv6 Router Advertisement.
Кроме того, ошибка фрагментации IPv6 (CVE-2021-24086) оставила все версии Windows уязвимыми для атак DoS, в то время как ошибка DHCPv6 (CVE-2023-28231) позволяла потенциальное выполнение кода через специально сформированные вызовы. Хотя широкомасштабные атаки с использованием этих уязвимостей пока не произошли, пользователям настоятельно рекомендуется без промедления применить обновления безопасности Windows этого месяца, учитывая повышенный риск, связанный с CVE-2024-38063.