Microsoft verwacht misbruik van kritiek 'wormable' Windows TCP/IP-lek
Microsoft verwacht dat aanvallers misbruik zullen maken van een kritieke TCP/IP-kwetsbaarheid in Windows waardoor remote code execution zonder enige interactie van gebruikers mogelijk is. Volgens securitybedrijf ZDI kan via het beveiligingslek een computerworm worden verspreid. De kwetsbaarheid, aangeduid als CVE-2024-38063, laat een ongeauthenticeerde aanvaller willekeurige code op systemen uitvoeren, zonder dat hier enige interactie van gebruikers voor is vereist.
Het versturen van speciaal geprepareerde IPv6-pakketten volstaat. Systemen waarop IPv6 staat uitgeschakeld zijn dan ook niet kwetsbaar, aldus Microsoft. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. "Je kunt IPv6 uitschakelen om misbruik te voorkomen, maar IPv6 staat bijna op alles standaard ingeschakeld", zegt Dustin Childs van ZDI.
Wat de kans op misbruik betreft heeft Microsoft dit als 'more likely' ingeschat. Het techbedrijf kwam gisterenavond met updates voor de kwetsbaarheid, die op de meeste systemen automatisch worden geïnstalleerd. Het probleem was gerapporteerd door een onderzoeker van cybersecuritybedrijf Cyber KunLun.
Reacties (16)
14-08-2024, 13:48 door
Anoniem
Microsoft adviseert zelf om IPv6 niet uit te schakelen, maar in plaats daarvan via de Windows Firewall IPv6 verkeer te filteren. Of dat de kwetsbaarheid voorkomt is niet beschreven, maar wel aannemelijk. Gewoon de updates installeren is waarschijnlijk eenvoudiger én minder storingsgevoelig.
14-08-2024, 14:32 door
Anoniem
Door Anoniem: Microsoft adviseert zelf om IPv6 niet uit te schakelen, maar in plaats daarvan via de Windows Firewall IPv6 verkeer te filteren.
Waar staat dat dan? In het artikel https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063 zie ik dat niet.
14-08-2024, 14:32 door
Anoniem
Door Anoniem: Microsoft adviseert zelf om IPv6 niet uit te schakelen, maar in plaats daarvan via de Windows Firewall IPv6 verkeer te filteren. Of dat de kwetsbaarheid voorkomt is niet beschreven, maar wel aannemelijk. Gewoon de updates installeren is waarschijnlijk eenvoudiger én minder storingsgevoelig.
De mitigation van Microsoft op de CVE is "Systems are not affected if IPv6 is disabled on the target machine." Dus hij zal dan ook wel echt uitmoeten als mitigation enige mogelijkheid is.
14-08-2024, 16:19 door
Anoniem
Maar waarom staat IPv6 dan standaard aan? De consument zegt het niks en beheerders maken al genoeg custom instellingen dus IPv6 inschakelen is dan ook geen probleem.
14-08-2024, 17:06 door
Anoniem
Door Anoniem: Maar waarom staat IPv6 dan standaard aan? De consument zegt het niks en beheerders maken al genoeg custom instellingen dus IPv6 inschakelen is dan ook geen probleem.
Omdat IPv6 inmiddels meer dan 20 jaar in gebruik is, zeker in landen die wat harder geraakt zijn door de IPv4 schaarste kan je niet meer zonder.
14-08-2024, 17:16 door
Anoniem
Is dit alleen voor luisterende interfaces (servers met ipv6 open poorten) en dus niet de reguliere desktop?
Dit is wel een diepgaand onderzoek waard, er zijn nogal wat systemen die dan vatbaar zijn in mitm/piggyback scenario's.
Dit is wel een diepgaand onderzoek waard, er zijn nogal wat systemen die dan vatbaar zijn in mitm/piggyback scenario's.
14-08-2024, 17:37 door
Anoniem
Door Anoniem: Is dit alleen voor luisterende interfaces (servers met ipv6 open poorten) en dus niet de reguliere desktop?
Dit is wel een diepgaand onderzoek waard, er zijn nogal wat systemen die dan vatbaar zijn in mitm/piggyback scenario's.
Hier ben ik ook benieuwd naar. Krijg het zo niet gevonden.Dit is wel een diepgaand onderzoek waard, er zijn nogal wat systemen die dan vatbaar zijn in mitm/piggyback scenario's.
14-08-2024, 17:40 door
Anoniem
Door Anoniem: Is dit alleen voor luisterende interfaces (servers met ipv6 open poorten) en dus niet de reguliere desktop?
Nouja dat zou inderdaad wel handig zijn om te weten.In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
14-08-2024, 18:42 door
Anoniem
Op je lokale (Windows 11) staat dit standaard aan. Command prompt openen > ipconfig
Dan zie je meerdere entries met Link-Local IPv6 Address: fe80:abcd....
Dan zie je meerdere entries met Link-Local IPv6 Address: fe80:abcd....
14-08-2024, 21:05 door
Anoniem
Door Anoniem:
In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
Door Anoniem: Is dit alleen voor luisterende interfaces (servers met ipv6 open poorten) en dus niet de reguliere desktop?
Nouja dat zou inderdaad wel handig zijn om te weten.In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
Door Anoniem:
In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
NAT is geen beveiliging, maar een krakkemikkige "oplossing" voor een techniche tekortkoming.Door Anoniem: Is dit alleen voor luisterende interfaces (servers met ipv6 open poorten) en dus niet de reguliere desktop?
Nouja dat zou inderdaad wel handig zijn om te weten.In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
14-08-2024, 21:13 door
Anoniem
Door Anoniem: Op je lokale (Windows 11) staat dit standaard aan. Command prompt openen > ipconfig
Dan zie je meerdere entries met Link-Local IPv6 Address: fe80:abcd....
Dan zie je meerdere entries met Link-Local IPv6 Address: fe80:abcd....
Als er qua IPv6 slechts één of meer Link-Local adressen staan, is deze host niet van buiten het eigen lokale netwerk te benaderen. Pas als de beheerder van het LAN de router van IPv6 heeft voorzien, zal de host ook een globaal adres krijgen, waardoor de host in principe een doelwit van deze aanval kan zijn.
14-08-2024, 22:33 door
Anoniem
Door Anoniem:
Als er qua IPv6 slechts één of meer Link-Local adressen staan, is deze host niet van buiten het eigen lokale netwerk te benaderen. Pas als de beheerder van het LAN de router van IPv6 heeft voorzien, zal de host ook een globaal adres krijgen, waardoor de host in principe een doelwit van deze aanval kan zijn.
Door Anoniem: Op je lokale (Windows 11) staat dit standaard aan. Command prompt openen > ipconfig
Dan zie je meerdere entries met Link-Local IPv6 Address: fe80:abcd....
Dan zie je meerdere entries met Link-Local IPv6 Address: fe80:abcd....
Als er qua IPv6 slechts één of meer Link-Local adressen staan, is deze host niet van buiten het eigen lokale netwerk te benaderen. Pas als de beheerder van het LAN de router van IPv6 heeft voorzien, zal de host ook een globaal adres krijgen, waardoor de host in principe een doelwit van deze aanval kan zijn.
Dat klopt dus niet.
Als je bijvoorbeeld op een wifi netwerk of ander lokaal netwerk zit en daar zit ook een systeem op waar al malware op zit die op deze manier verspreid wordt (er staat in de aankondiging dat het "Wormable" is!) dan kun je via die link-local adressen door dat systeem besmet worden en het zelf ook weer verspreiden.
15-08-2024, 16:00 door
Anoniem
Door Anoniem:
Door Anoniem:
In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
Door Anoniem: Is dit alleen voor luisterende interfaces (servers met ipv6 open poorten) en dus niet de reguliere desktop?
Nouja dat zou inderdaad wel handig zijn om te weten.In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
Door Anoniem:
In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
NAT is geen beveiliging, maar een krakkemikkige "oplossing" voor een techniche tekortkoming.Door Anoniem: Is dit alleen voor luisterende interfaces (servers met ipv6 open poorten) en dus niet de reguliere desktop?
Nouja dat zou inderdaad wel handig zijn om te weten.In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
Ja precies dat!
Het vreemde van NAT is dat mensen nu denken dat ze het nodig hebben omdat ze denken dat we niet op een andere manier kunnen firewallen. Dat terwijl er eigenlijk niets goeds over te zeggen is.
15-08-2024, 22:17 door
Anoniem
Door Anoniem:
Door Anoniem:
In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
Door Anoniem: Is dit alleen voor luisterende interfaces (servers met ipv6 open poorten) en dus niet de reguliere desktop?
Nouja dat zou inderdaad wel handig zijn om te weten.In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
Door Anoniem:
In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
NAT is geen beveiliging, maar een krakkemikkige "oplossing" voor een techniche tekortkoming.Door Anoniem: Is dit alleen voor luisterende interfaces (servers met ipv6 open poorten) en dus niet de reguliere desktop?
Nouja dat zou inderdaad wel handig zijn om te weten.In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
Maar lost wel 95% van de internet aanvallen op.
16-08-2024, 19:02 door
Anoniem
Geen idee waarom mijn opmerking over "NAT is geen beveiliging" niet langs de moderatie komt, maar goed.
Ik denk dat ik weet wat het "aanvalspakket" is: een TCP SYN met MSS optie groter dan 1440.
Dat heb ik geblokkeerd op de firewall en geconstateerd dat er mee gescand wordt.
Dus doe er je voordeel mee...
Ik denk dat ik weet wat het "aanvalspakket" is: een TCP SYN met MSS optie groter dan 1440.
Dat heb ik geblokkeerd op de firewall en geconstateerd dat er mee gescand wordt.
Dus doe er je voordeel mee...
21-08-2024, 14:43 door
Anoniem
Wat als iemand een laptop van buiten deur mee in het bedrijfsnetwerk meeneemt die reeds gecomprimeerd is. Deze is dan voorbij de firewall en kan alles binnen het LAN besmetten met deze worm via de TCP/IP V6 stack!
Het is maar een gedachte.
Het is maar een gedachte.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
