Une vulnérabilité de sécurité critique a été corrigée dans Windows dans le Patch Tuesday d'octobre 2020. CVE-2020-16898 est une faille découverte dans les options d'annonce de routeur IPv6, également appelées options DNS RA. La faille réside dans la pile TCP / IP Windows, responsable de la gestion des paquets RA.
Si la vulnérabilité est exploitée, les scénarios d'attaque actuels incluent les attaques par déni de service, et la possibilité d'exécution de code à distance. Malheureusement, CVE-2020-16898 affecte plusieurs versions de Windows, tous prenant en charge IPv6 RDNSS. Ce dernier a été ajouté au système d'exploitation à partir de la version 1709 de Windows 10, les chercheurs en sécurité mettent en garde.
Il convient de noter que les chercheurs ont surnommé la faille «Bad Neighbor».
Vulnérabilité de mauvais voisin CVE-2020-16898
Selon McAfee, l'impact le plus immense de la faille concerne Windows 10 systèmes. Avec l'aide des mises à jour Windows, la bonne nouvelle est que la surface de la menace doit être minimisée en un rien de temps.
Les statistiques Shodan montrent que le nombre de Windows Server 2019 les machines avec des adresses IPv6 ne dépassent pas 1000. Cependant, ces données peuvent ne pas être fiables «car la plupart des serveurs sont derrière des pare-feu ou hébergés par des fournisseurs de services cloud (CSP) et non accessible directement via les scans Shodan,»Souligne McAfee.
Les chercheurs «pensent que la vulnérabilité peut être détectée avec une simple heuristique qui analyse tout le trafic ICMPv6 entrant, recherche de paquets avec un champ Type ICMPv6 de 134 - indiquant l'annonce du routeur - et un champ Option ICMPv6 de 25 - indiquant le serveur DNS récursif (RDNSS)."
Lorsque l'option RDNSS a également une valeur de champ de longueur qui est paire, l'heuristique abandonnerait ou marquerait le paquet associé, car cela fait probablement partie d'une tentative d'exploits de CVE-2020-16898.
Atténuation contre CVE-2020-16898
Quant aux techniques d'atténuation, le correctif est obligatoire et constitue le moyen le plus simple de se protéger contre les exploits. Si un patch n'est pas possible, vous pouvez désactiver IPv6 comme mesure d'atténuation. La désactivation peut être effectuée sur la carte réseau ou au périmètre du réseau pour supprimer le trafic IPv6.
Aussi, vous pouvez bloquer ou supprimer les publicités de routeur ICMPv6 au périmètre du réseau. Se il vous plaît noter que Windows Defender et le pare-feu Windows n'arrivent pas à arrêter la preuve de concept lorsqu'il est activé. Les chercheurs ne savent pas si l'attaque peut réussir en tunnelant le trafic ICMPv6 sur IPv4 via des technologies telles que 6to4 ou Teredo..