Microsoft verwacht misbruik van kritiek 'wormable' Windows TCP/IP-lek
Microsoft verwacht dat aanvallers misbruik zullen maken van een kritieke TCP/IP-kwetsbaarheid in Windows waardoor remote code execution zonder enige interactie van gebruikers mogelijk is. Volgens securitybedrijf ZDI kan via het beveiligingslek een computerworm worden verspreid. De kwetsbaarheid, aangeduid als CVE-2024-38063, laat een ongeauthenticeerde aanvaller willekeurige code op systemen uitvoeren, zonder dat hier enige interactie van gebruikers voor is vereist.
Het versturen van speciaal geprepareerde IPv6-pakketten volstaat. Systemen waarop IPv6 staat uitgeschakeld zijn dan ook niet kwetsbaar, aldus Microsoft. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.8. "Je kunt IPv6 uitschakelen om misbruik te voorkomen, maar IPv6 staat bijna op alles standaard ingeschakeld", zegt Dustin Childs van ZDI.
Wat de kans op misbruik betreft heeft Microsoft dit als 'more likely' ingeschat. Het techbedrijf kwam gisterenavond met updates voor de kwetsbaarheid, die op de meeste systemen automatisch worden geïnstalleerd. Het probleem was gerapporteerd door een onderzoeker van cybersecuritybedrijf Cyber KunLun.
Waar staat dat dan? In het artikel https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063 zie ik dat niet.
De mitigation van Microsoft op de CVE is "Systems are not affected if IPv6 is disabled on the target machine." Dus hij zal dan ook wel echt uitmoeten als mitigation enige mogelijkheid is.
Dit is wel een diepgaand onderzoek waard, er zijn nogal wat systemen die dan vatbaar zijn in mitm/piggyback scenario's.
Dit is wel een diepgaand onderzoek waard, er zijn nogal wat systemen die dan vatbaar zijn in mitm/piggyback scenario's.
In ieder geval in Nederland zitten IPv6 systemen meestal achter een statefull firewall die alleen uitgaande connecties toelaat (gelijkwaardig aan NAT bij IPv4) omdt dit een eis is van internetproviders aan router leveranciers en dus op alle "inbegrepen routers" aanwezig is.
Maar of dit relevant is voor dit probleem weten we dus niet.
Ook zou het wel handig zijn om te weten wat voor soort packets je zou moeten filteren op een firewall om dit probleem te voorkomen.
Dan zie je meerdere entries met Link-Local IPv6 Address: fe80:abcd....
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer
Ben jij de Information Security Officer met hart voor de zorg? Wil je een bijdrage leveren aan Informatiebeveiliging binnen het Erasmus MC? Word onderdeel van ons team! Samen met de CISO en een team van Information Security Officers zorg je ervoor dat informatiebeveiliging en gegevens-bescherming binnen Erasmus MC de benodigde aandacht krijgt.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.