Una vulnerabilidad de seguridad crítica fue parcheada en Windows en el martes de parches de octubre de 2020. CVE-2020-16898 es una falla descubierta en las opciones de publicidad del enrutador IPv6, también conocidas como opciones DNS RA. La falla reside en la pila TCP / IP de Windows, responsable del manejo de paquetes RA.
Si se explota la vulnerabilidad, Los escenarios de ataque actuales incluyen ataques de denegación de servicio., y la posibilidad de ejecución remota de código. Desafortunadamente, CVE-2020-16898 afecta a múltiples versiones de Windows, todos los cuales admiten IPv6 RDNSS. Este último se agregó al sistema operativo comenzando con la versión 1709 de Ventanas 10, los investigadores de seguridad advierten.
Es de destacar que los investigadores han denominado el defecto "Mal vecino"..
CVE-2020-16898 Vulnerabilidad de vecino incorrecto
Según McAfee, el impacto más inmenso de la falla se refiere a Windows 10 sistemas. Con la ayuda de las actualizaciones de Windows, la buena noticia es que la superficie de amenaza debe minimizarse en poco tiempo.
Las estadísticas de Shodan muestran que el número de servidores de Windows 2019 máquinas con direcciones IPv6 no son más de 1000. Sin embargo, estos datos pueden no ser confiables "porque la mayoría de los servidores están detrás de firewalls o alojados por proveedores de servicios en la nube (CSP) y no accesible directamente a través de escaneos Shodan,”Señala McAfee.
Los investigadores “creen que la vulnerabilidad se puede detectar con una simple heurística que analiza todo el tráfico ICMPv6 entrante, buscando paquetes con un campo Tipo ICMPv6 de 134 - que indica Anuncio de enrutador - y un campo de opción ICMPv6 de 25 - indicando servidor DNS recursivo (RDNSS)."
Cuando la opción RDNSS también tiene un valor de campo de longitud que es par, la heurística descartaría o marcaría el paquete asociado, ya que probablemente sea parte de un intento de exploits de CVE-2020-16898.
Mitigación contra CVE-2020-16898
En cuanto a las técnicas de mitigación, el parche es obligatorio y es la forma más fácil de protegerse contra exploits. Si un parche no es posible, puede deshabilitar IPv6 como medida de mitigación. La desactivación se puede realizar en la NIC o en el perímetro de la red para eliminar el tráfico IPv6.
También, puede bloquear o soltar anuncios de enrutador ICMPv6 en el perímetro de la red. Tenga en cuenta que Windows Defender y el Firewall de Windows no detienen la prueba de concepto cuando están habilitados. Los investigadores no están seguros de si el ataque puede tener éxito al canalizar el tráfico ICMPv6 sobre IPv4 a través de tecnologías como 6to4 o Teredo..