Eine kritische Sicherheitslücke wurde am Patch Tuesday im Oktober 2020 in Windows gepatcht. CVE-2020-16898 ist ein Fehler, der in IPv6-Router-Ankündigungsoptionen entdeckt wurde, die auch als DNS-RA-Optionen bezeichnet werden. Der Fehler liegt im Windows TCP / IP-Stack, verantwortlich für den Umgang mit RA-Paketen.
Wenn die Sicherheitsanfälligkeit ausgenutzt wird, Aktuelle Angriffsszenarien umfassen Denial-of-Service-Angriffe, und die Möglichkeit der Remote-Codeausführung. Leider, CVE-2020-16898 betrifft mehrere Windows-Versionen, Alle unterstützen IPv6-RDNSS. Letzteres wurde ab der Version zum Betriebssystem hinzugefügt 1709 von Windows 10, Sicherheitsexperten warnen.
Es ist bemerkenswert, dass Forscher den Fehler "Bad Neighbour" genannt haben..
CVE-2020-16898 Sicherheitsanfälligkeit für schlechte Nachbarn
Laut McAfee, Die größte Auswirkung des Fehlers betrifft Windows 10 Systeme. Mit Hilfe von Windows Updates, Die gute Nachricht ist, dass die Bedrohungsfläche in kürzester Zeit minimiert werden sollte.
Shodan-Statistiken zeigen, dass die Anzahl der Windows Server 2019 Computer mit IPv6-Adressen sind nicht mehr als 1000. Jedoch, Diese Daten sind möglicherweise nicht zuverlässig, da sich die meisten Server hinter Firewalls befinden oder von Cloud-Dienstanbietern gehostet werden (CSPs) und nicht direkt über Shodan-Scans erreichbar,McAfee weist darauf hin.
Die Forscher glauben, dass die Sicherheitsanfälligkeit mit einer einfachen Heuristik erkannt werden kann, die den gesamten eingehenden ICMPv6-Verkehr analysiert, Suche nach Paketen mit einem ICMPv6-Typfeld von 134 - Anzeige der Router-Ankündigung - und ein ICMPv6-Optionsfeld von 25 - Angabe des rekursiven DNS-Servers (RDNSS)."
Wenn die RDNSS-Option auch einen geraden Längenfeldwert hat, Die Heuristik würde das zugehörige Paket verwerfen oder markieren, da es wahrscheinlich Teil des Exploits-Versuchs von CVE-2020-16898 ist.
Minderung gegen CVE-2020-16898
Wie für Abschwächungstechniken, Das Patchen ist obligatorisch und der einfachste Weg, um sich vor Exploits zu schützen. Wenn ein Patch nicht möglich ist, Sie können IPv6 als Schadensbegrenzungsmaßnahme deaktivieren. Das Deaktivieren kann entweder auf der Netzwerkkarte oder am Rand des Netzwerks erfolgen, um den IPv6-Verkehr zu beenden.
Auch, Sie können ICMPv6-Router-Ankündigungen am Netzwerkperimeter blockieren oder löschen. Bitte beachten Sie, dass Windows Defender und die Windows-Firewall kann den Proof-of-Concept nicht stoppen, wenn sie aktiviert ist. Die Forscher sind sich nicht sicher, ob der Angriff erfolgreich sein kann, indem der ICMPv6-Verkehr über IPv4 mithilfe von Technologien wie 6to4 oder Teredo getunnelt wird.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: