Microsoft waarschuwde klanten deze dinsdag om een kritieke TCP/IP remote code execution (RCE) kwetsbaarheid te patchen met een verhoogde kans op exploitatie die alle Windows-systemen beïnvloedt die IPv6 gebruiken, wat standaard is ingeschakeld.

Deze beveiligingsfout, gevolgd als CVE-2024-38063, wordt veroorzaakt door een Integer Underflow-zwakte, die aanvallers zouden kunnen misbruiken om buffer overflows te veroorzaken die kunnen worden gebruikt om willekeurige code uit te voeren op kwetsbare Windows 10-, Windows 11- en Windows Server-systemen.

Zoals het bedrijf uitlegt, kunnen ongeauthenticeerde aanvallers de fout op afstand misbruiken in aanvallen met lage complexiteit door herhaaldelijk IPv6-pakketten te verzenden die speciaal vervaardigde pakketten bevatten.

Microsoft deelde ook zijn exploitatiebeoordeling voor deze kritieke kwetsbaarheid en labelde het met een “exploitatie waarschijnlijker” label, wat betekent dat dreigingsactoren exploitcode zouden kunnen creëren om “de fout consistent te exploiteren in aanvallen.”

“Bovendien is Microsoft zich bewust van eerdere gevallen van dit soort kwetsbaarheid die werden misbruikt. Dit zou het een aantrekkelijk doelwit maken voor aanvallers, en daarom waarschijnlijker dat exploits kunnen worden gecreëerd,” legt Redmond uit.

“Zodoende zouden klanten die de beveiligingsupdate hebben beoordeeld en de toepasbaarheid hiervan binnen hun omgeving hebben bepaald, dit met een hogere prioriteit moeten behandelen.”

Als een mitigatiemaatregel voor degenen die deze week de Windows-beveiligingsupdates niet onmiddellijk kunnen installeren, raadt Microsoft aan IPv6 uit te schakelen om het aanvalsvlak te verwijderen.

Echter, op zijn ondersteuningswebsite zegt het bedrijf dat het IPv6-netwerkprotocolstapel een “verplicht onderdeel is van Windows Vista en Windows Server 2008 en nieuwere versies” en dat het niet wordt aangeraden om IPv6 of de componenten ervan uit te schakelen, omdat dit ervoor kan zorgen dat sommige Windows-componenten niet meer werken.

Wormbare kwetsbaarheid

Het hoofd van Dreigingsbewustzijn bij Trend Micro’s Zero Day Initiative, Dustin Childs, labelde de CVE-2024-38063-fout ook als een van de ernstigste kwetsbaarheden die door Microsoft zijn verholpen op deze Patch Tuesday, en noemde het een wormbare fout.

“De ergste is waarschijnlijk de fout in TCP/IP die een externe, ongeauthenticeerde aanvaller in staat zou stellen om verhoogde code-uitvoering te krijgen door gewoon speciaal vervaardigde IPv6-pakketten naar een getroffen doelwit te sturen,” zei Childs.

“Dat betekent dat het wormbaar is. Je kunt IPv6 uitschakelen om deze exploit te voorkomen, maar IPv6 is standaard ingeschakeld op vrijwel alles.”

Hoewel Microsoft en andere bedrijven Windows-gebruikers waarschuwden om hun systemen zo snel mogelijk te patchen om potentiële aanvallen met behulp van CVE-2024-38063-exploits te blokkeren, is dit niet de eerste en waarschijnlijk niet de laatste Windows-kwetsbaarheid die met behulp van IPv6-pakketten kan worden misbruikt.

In de afgelopen vier jaar heeft Microsoft meerdere andere IPv6-problemen gepatcht, waaronder twee TCP/IP-fouten gevolgd als CVE-2020-16898/9 (ook wel Ping of Death genoemd), die kunnen worden misbruikt in remote code execution (RCE) en denial of service (DoS)-aanvallen met behulp van kwaadaardige ICMPv6 Router Advertisement-pakketten.

Bovendien liet een IPv6-fragmentatiebug (CVE-2021-24086) alle Windows-versies kwetsbaar voor DoS-aanvallen, en een DHCPv6-fout (CVE-2023-28231) maakte het mogelijk om RCE te verkrijgen met een speciaal vervaardigde oproep.

Hoewel aanvallers ze nog moeten misbruiken in wijdverspreide aanvallen die zijn gericht op alle IPv6-ingeschakelde Windows-apparaten, worden gebruikers nog steeds geadviseerd om deze maand de Windows-beveiligingsupdates onmiddellijk toe te passen vanwege de verhoogde kans op exploitatie van CVE-2024-38063.