Microsoft waarschuwde klanten deze dinsdag om een kritieke TCP/IP remote code execution (RCE) kwetsbaarheid te patchen met een verhoogde waarschijnlijkheid van exploitatie die invloed heeft op alle Windows-systemen die IPv6 gebruiken, wat standaard is ingeschakeld.

Gevolgd als CVE-2024-38063, wordt deze beveiligingsfout veroorzaakt door een Integer Underflow-zwakte, die aanvallers kunnen misbruiken om buffer overflows te veroorzaken die kunnen worden gebruikt om willekeurige code uit te voeren op kwetsbare Windows 10, Windows 11 en Windows Server systemen.

Zoals het bedrijf uitlegt, kunnen ongeauthenticeerde aanvallers de fout op afstand misbruiken in aanvallen met lage complexiteit door herhaaldelijk IPv6 pakketten te sturen die speciaal samengestelde pakketten bevatten.

Microsoft deelde ook zijn exploitabiliteitsbeoordeling voor deze kritieke kwetsbaarheid en labelde het met een “exploitation more likely” label, wat betekent dat dreigingsactoren exploitcode zouden kunnen maken om “de fout consistent in aanvallen te misbruiken.”

“Bovendien is Microsoft zich bewust van eerdere gevallen waarin dit soort kwetsbaarheid werd uitgebuit. Dit zou het een aantrekkelijk doelwit voor aanvallers maken, en daarom is het waarschijnlijker dat exploits kunnen worden gemaakt,” legt Redmond uit.

“Als zodanig moeten klanten die de beveiligingsupdate hebben bekeken en de toepasbaarheid ervan binnen hun omgeving hebben bepaald dit met hogere prioriteit behandelen.”

Als een mitigerende maatregel voor degenen die deze week de Windows beveiligingsupdates niet meteen kunnen installeren, raadt Microsoft aan IPv6 uit te schakelen om het aanvalsoppervlak te verwijderen.

Op de ondersteuningswebsite van het bedrijf staat echter dat het IPv6 netwerkprotocolstack een “verplicht onderdeel is van Windows Vista en Windows Server 2008 en nieuwere versies” en adviseert niet om IPv6 of zijn componenten uit te schakelen omdat dit ervoor kan zorgen dat sommige Windows-componenten niet meer werken.

Wormbare kwetsbaarheid

Hoofd van Bedreigingsbewustzijn bij Trend Micro’s Zero Day Initiative, Dustin Childs, labelde de CVE-2024-38063 fout ook als een van de ernstigste kwetsbaarheden die Microsoft deze Patch Tuesday heeft hersteld, en bestempelde het als een wormbare fout.

“Het ergste is waarschijnlijk de fout in TCP/IP waarmee een externe, ongeauthenticeerde aanvaller verhoogde code-uitvoering kan krijgen door gewoon speciaal samengestelde IPv6 pakketten naar een getroffen doelwit te sturen,” zei Childs.

“Dat betekent dat het wormbaar is. Je kunt IPv6 uitschakelen om deze exploit te voorkomen, maar IPv6 staat standaard ingeschakeld op bijna alles.”

Hoewel Microsoft en andere bedrijven Windows-gebruikers waarschuwden om hun systemen zo snel mogelijk te patchen om mogelijke aanvallen met CVE-2024-38063 exploits te blokkeren, is dit niet de eerste en waarschijnlijk niet de laatste Windows-kwetsbaarheid die misbruik maakt van IPv6-pakketten.

In de afgelopen vier jaar heeft Microsoft meerdere andere IPv6-problemen gepatcht, waaronder twee TCP/IP-fouten gevolgd als CVE-2020-16898/9 (ook wel Ping of Death genoemd), die kunnen worden misbruikt in remote code execution (RCE) en denial of service (DoS) aanvallen met kwaadaardige ICMPv6 router advertentie pakketten.

Bovendien liet een IPv6 fragmentatie fout (CVE-2021-24086) alle Windows-versies kwetsbaar achter voor DoS-aanvallen, en een DHCPv6 fout (CVE-2023-28231) maakte het mogelijk om RCE te verkrijgen met een speciaal samengestelde oproep.

Hoewel aanvallers ze nog niet hebben misbruikt in grootschalige aanvallen die zich richten op alle met IPv6 ingeschakelde Windows-apparaten, wordt gebruikers toch geadviseerd om de Windows beveiligingsupdates van deze maand onmiddellijk toe te passen vanwege de verhoogde waarschijnlijkheid van exploitatie van CVE-2024-38063.