image

Microsoft verwacht misbruik van kritiek 'wormable' Windows TCP/IP-lek

woensdag 14 augustus 2024, 13:32 door Redactie, 16 reacties

Microsoft verwacht dat aanvallers misbruik zullen maken van een kritieke TCP/IP-kwetsbaarheid in Windows waardoor remote code execution zonder enige interactie van gebruikers mogelijk is. Volgens securitybedrijf ZDI kan via het beveiligingslek een computerworm worden verspreid. De kwetsbaarheid, aangeduid als CVE-2024-38063, laat een ongeauthenticeerde aanvaller willekeurige code op systemen uitvoeren, zonder dat hier enige interactie van gebruikers voor is vereist.

Het versturen van speciaal geprepareerde IPv6-pakketten volstaat. Systemen waarop IPv6 staat uitgeschakeld zijn dan ook niet kwetsbaar, aldus Microsoft. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. "Je kunt IPv6 uitschakelen om misbruik te voorkomen, maar IPv6 staat bijna op alles standaard ingeschakeld", zegt Dustin Childs van ZDI.

Wat de kans op misbruik betreft heeft Microsoft dit als 'more likely' ingeschat. Het techbedrijf kwam gisterenavond met updates voor de kwetsbaarheid, die op de meeste systemen automatisch worden geïnstalleerd. Het probleem was gerapporteerd door een onderzoeker van cybersecuritybedrijf Cyber KunLun.

Reacties (16)
14-08-2024, 13:48 door Anoniem
Microsoft adviseert zelf om IPv6 niet uit te schakelen, maar in plaats daarvan via de Windows Firewall IPv6 verkeer te filteren. Of dat de kwetsbaarheid voorkomt is niet beschreven, maar wel aannemelijk. Gewoon de updates installeren is waarschijnlijk eenvoudiger én minder storingsgevoelig.
14-08-2024, 14:32 door Anoniem
Door Anoniem: Microsoft adviseert zelf om IPv6 niet uit te schakelen, maar in plaats daarvan via de Windows Firewall IPv6 verkeer te filteren.

Waar staat dat dan? In het artikel https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063 zie ik dat niet.
14-08-2024, 14:32 door Anoniem
Door Anoniem: Microsoft adviseert zelf om IPv6 niet uit te schakelen, maar in plaats daarvan via de Windows Firewall IPv6 verkeer te filteren. Of dat de kwetsbaarheid voorkomt is niet beschreven, maar wel aannemelijk. Gewoon de updates installeren is waarschijnlijk eenvoudiger én minder storingsgevoelig.

De mitigation van Microsoft op de CVE is "Systems are not affected if IPv6 is disabled on the target machine." Dus hij zal dan ook wel echt uitmoeten als mitigation enige mogelijkheid is.
14-08-2024, 16:19 door Anoniem
Maar waarom staat IPv6 dan standaard aan? De consument zegt het niks en beheerders maken al genoeg custom instellingen dus IPv6 inschakelen is dan ook geen probleem.
14-08-2024, 17:06 door Anoniem
Door Anoniem: Maar waarom staat IPv6 dan standaard aan? De consument zegt het niks en beheerders maken al genoeg custom instellingen dus IPv6 inschakelen is dan ook geen probleem.
Omdat IPv6 inmiddels meer dan 20 jaar in gebruik is, zeker in landen die wat harder geraakt zijn door de IPv4 schaarste kan je niet meer zonder.
14-08-2024, 17:16 door Anoniem
Is dit alleen voor luisterende interfaces (servers met ipv6 open poorten) en dus niet de reguliere desktop?
Dit is wel een diepgaand onderzoek waard, er zijn nogal wat systemen die dan vatbaar zijn in mitm/piggyback scenario's.
14-08-2024, 17:37 door Anoniem
Door Anoniem: Is dit alleen voor luisterende interfaces (servers met ipv6 open poorten) en dus niet de reguliere desktop?
Dit is wel een diepgaand onderzoek waard, er zijn nogal wat systemen die dan vatbaar zijn in mitm/piggyback scenario's.
Hier ben ik ook benieuwd naar. Krijg het zo niet gevonden.
14-08-2024, 17:40 door Anoniem
Door Anoniem: Is dit alleen voor luisterende interfaces (servers met ipv6 open poorten) en dus niet de reguliere desktop?
Nouja dat zou inderdaad wel handig zijn om te weten.
In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
14-08-2024, 18:42 door Anoniem
Op je lokale (Windows 11) staat dit standaard aan. Command prompt openen > ipconfig

Dan zie je meerdere entries met Link-Local IPv6 Address: fe80:abcd....
14-08-2024, 21:05 door Anoniem
Door Anoniem:
Door Anoniem: Is dit alleen voor luisterende interfaces (servers met ipv6 open poorten) en dus niet de reguliere desktop?
Nouja dat zou inderdaad wel handig zijn om te weten.
In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
Door Anoniem:
Door Anoniem: Is dit alleen voor luisterende interfaces (servers met ipv6 open poorten) en dus niet de reguliere desktop?
Nouja dat zou inderdaad wel handig zijn om te weten.
In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
NAT is geen beveiliging, maar een krakkemikkige "oplossing" voor een techniche tekortkoming.
14-08-2024, 21:13 door Anoniem
Door Anoniem: Op je lokale (Windows 11) staat dit standaard aan. Command prompt openen > ipconfig

Dan zie je meerdere entries met Link-Local IPv6 Address: fe80:abcd....

Als er qua IPv6 slechts één of meer Link-Local adressen staan, is deze host niet van buiten het eigen lokale netwerk te benaderen. Pas als de beheerder van het LAN de router van IPv6 heeft voorzien, zal de host ook een globaal adres krijgen, waardoor de host in principe een doelwit van deze aanval kan zijn.
14-08-2024, 22:33 door Anoniem
Door Anoniem:
Door Anoniem: Op je lokale (Windows 11) staat dit standaard aan. Command prompt openen > ipconfig

Dan zie je meerdere entries met Link-Local IPv6 Address: fe80:abcd....

Als er qua IPv6 slechts één of meer Link-Local adressen staan, is deze host niet van buiten het eigen lokale netwerk te benaderen. Pas als de beheerder van het LAN de router van IPv6 heeft voorzien, zal de host ook een globaal adres krijgen, waardoor de host in principe een doelwit van deze aanval kan zijn.

Dat klopt dus niet.
Als je bijvoorbeeld op een wifi netwerk of ander lokaal netwerk zit en daar zit ook een systeem op waar al malware op zit die op deze manier verspreid wordt (er staat in de aankondiging dat het "Wormable" is!) dan kun je via die link-local adressen door dat systeem besmet worden en het zelf ook weer verspreiden.
15-08-2024, 16:00 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Is dit alleen voor luisterende interfaces (servers met ipv6 open poorten) en dus niet de reguliere desktop?
Nouja dat zou inderdaad wel handig zijn om te weten.
In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
Door Anoniem:
Door Anoniem: Is dit alleen voor luisterende interfaces (servers met ipv6 open poorten) en dus niet de reguliere desktop?
Nouja dat zou inderdaad wel handig zijn om te weten.
In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
NAT is geen beveiliging, maar een krakkemikkige "oplossing" voor een techniche tekortkoming.

Ja precies dat!
Het vreemde van NAT is dat mensen nu denken dat ze het nodig hebben omdat ze denken dat we niet op een andere manier kunnen firewallen. Dat terwijl er eigenlijk niets goeds over te zeggen is.
15-08-2024, 22:17 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Is dit alleen voor luisterende interfaces (servers met ipv6 open poorten) en dus niet de reguliere desktop?
Nouja dat zou inderdaad wel handig zijn om te weten.
In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
Door Anoniem:
Door Anoniem: Is dit alleen voor luisterende interfaces (servers met ipv6 open poorten) en dus niet de reguliere desktop?
Nouja dat zou inderdaad wel handig zijn om te weten.
In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
NAT is geen beveiliging, maar een krakkemikkige "oplossing" voor een techniche tekortkoming.

Maar lost wel 95% van de internet aanvallen op.
16-08-2024, 19:02 door Anoniem
Geen idee waarom mijn opmerking over "NAT is geen beveiliging" niet langs de moderatie komt, maar goed.
Ik denk dat ik weet wat het "aanvalspakket" is: een TCP SYN met MSS optie groter dan 1440.
Dat heb ik geblokkeerd op de firewall en geconstateerd dat er mee gescand wordt.
Dus doe er je voordeel mee...
21-08-2024, 14:43 door Anoniem
Wat als iemand een laptop van buiten deur mee in het bedrijfsnetwerk meeneemt die reeds gecomprimeerd is. Deze is dan voorbij de firewall en kan alles binnen het LAN besmetten met deze worm via de TCP/IP V6 stack!
Het is maar een gedachte.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.