Microsoft advirtió este martes a sus clientes que parcheen una vulnerabilidad crítica de ejecución remota de código (RCE) TCP/IP con una mayor probabilidad de explotación que afecta a todos los sistemas Windows que utilizan IPv6, que está habilitado de forma predeterminada.
Encontrado por Kunlun Lab XiaoWei y rastreado como CVE-2024-38063Este error de seguridad es causado por un Desbordamiento de enteros debilidad que los atacantes podrían explotar para provocar desbordamientos de búfer que se pueden usar para ejecutar código arbitrario en sistemas vulnerables de Windows 10, Windows 11 y Windows Server.
“Teniendo en cuenta el daño, no revelaré más detalles en el corto plazo”, dijo el investigador de seguridad a BleepingComputer, añadiendo que bloquear IPv6 en el firewall local de Windows no bloqueará los exploits porque la vulnerabilidad se activa antes de que sea procesada por el firewall.
Como explicó Microsoft en su aviso del martes, atacantes no autenticados pueden explotar la falla de forma remota en ataques de baja complejidad enviando repetidamente paquetes IPv6 que incluyen paquetes especialmente diseñados.
Microsoft también compartió su evaluación de explotabilidad para esta vulnerabilidad crítica, etiquetándola con una etiqueta de “explotación más probable”, lo que significa que los actores de amenazas podrían crear código de explotación para “explotar constantemente la falla en los ataques”.
“Además, Microsoft está al tanto de casos anteriores de explotación de este tipo de vulnerabilidad. Esto lo convertiría en un objetivo atractivo para los atacantes y, por lo tanto, es más probable que se puedan crear exploits”, dijo Redmond. explica.
“Por ello, los clientes que han revisado la actualización de seguridad y han determinado su aplicabilidad dentro de su entorno deberían tratarla con mayor prioridad”.
Como medida de mitigación para aquellos que no pueden instalar inmediatamente las actualizaciones de seguridad de Windows de esta semana, Microsoft recomienda deshabilitar IPv6 para eliminar la superficie de ataque.
Sin embargo, en Su sitio web de soporteLa compañía afirma que la pila de protocolos de red IPv6 es una “parte obligatoria de Windows Vista y Windows Server 2008 y versiones más nuevas” y no recomienda desactivar IPv6 o sus componentes porque esto podría provocar que algunos componentes de Windows dejen de funcionar.
Vulnerabilidad susceptible de ser atacada por gusanos
Dustin Childs, jefe de concientización sobre amenazas en la iniciativa Zero Day de Trend Micro, también calificó el error CVE-2024-38063 como una de las vulnerabilidades más graves corregidas por Microsoft este martes de parches, y lo etiquetó como una falla susceptible de convertirse en un gusano.
“Lo peor es probablemente el error en TCP/IP que permitiría a un atacante remoto no autenticado obtener una ejecución de código elevada simplemente enviando paquetes IPv6 especialmente diseñados a un objetivo afectado”, dijo Childs.
“Eso significa que se puede atacar con gusanos. Puedes desactivar IPv6 para evitar esta vulnerabilidad, pero IPv6 está habilitado de forma predeterminada en casi todos los sistemas”.
Si bien Microsoft y otras compañías advirtieron a los usuarios de Windows que parcheen sus sistemas lo antes posible para bloquear posibles ataques que utilicen exploits CVE-2024-38063, esta no es la primera y probablemente no será la última vulnerabilidad de Windows explotable mediante paquetes IPv6.
En los últimos cuatro años, Microsoft ha corregido varios otros problemas de IPv6, incluidas dos fallas de TCP/IP identificadas como CVE-2020-16898/9 (también llamado Ping of Death), que puede explotarse en ataques de ejecución remota de código (RCE) y de denegación de servicio (DoS) utilizando paquetes de anuncio de enrutador ICMPv6 maliciosos.
Además, un error de fragmentación de IPv6 (CVE-2021-24086) dejó todas las versiones de Windows vulnerables a ataques DoS y una falla de DHCPv6 (CVE-2023-28231) hizo posible obtener RCE con una llamada especialmente diseñada.
Si bien los atacantes aún no los han explotado en ataques generalizados dirigidos a todos los dispositivos Windows con IPv6 habilitado, se recomienda a los usuarios que apliquen las actualizaciones de seguridad de Windows de este mes de inmediato debido a la mayor probabilidad de explotación de CVE-2024-38063.
