Una vulnerabilità di sicurezza critica è stata corretta in Windows nel Patch Tuesday di ottobre 2020. CVE-2020-16898 è un difetto scoperto nelle opzioni di pubblicità del router IPv6 note anche come opzioni DNS RA. Il difetto risiede nello stack TCP / IP di Windows, responsabile della gestione dei pacchetti RA.
Se la vulnerabilità viene sfruttata, gli attuali scenari di attacco includono attacchi Denial of Service, e la possibilità di esecuzione di codice remoto. Sfortunatamente, CVE-2020-16898 interessa più versioni di Windows, che supportano IPv6 RDNSS. Quest'ultimo è stato aggiunto al sistema operativo a partire dalla versione 1709 Windows 10, ricercatori di sicurezza avvertono.
È interessante notare che i ricercatori hanno soprannominato il difetto "Bad Neighbor".
CVE-2020-16898 Vulnerabilità del vicinato cattivo
Secondo McAfee, l'impatto più immenso del difetto riguarda Windows 10 sistemi. Con l'aiuto degli aggiornamenti di Windows, la buona notizia è che la superficie della minaccia dovrebbe essere ridotta al minimo in pochissimo tempo.
Le statistiche di Shodan mostrano che il numero di Windows Server 2019 le macchine con indirizzi IPv6 non sono più di 1000. Tuttavia, questi dati potrebbero non essere affidabili “perché la maggior parte dei server si trova dietro firewall o è ospitata da fornitori di servizi cloud (CSP) e non raggiungibile direttamente tramite scansioni Shodan,"Sottolinea McAfee.
I ricercatori “ritengono che la vulnerabilità possa essere rilevata con una semplice euristica che analizza tutto il traffico ICMPv6 in entrata, alla ricerca di pacchetti con un campo Tipo ICMPv6 di 134 - che indica Annuncio router - e un campo Opzione ICMPv6 di 25 - che indica Server DNS ricorsivo (RDNSS)."
Quando l'opzione RDNSS ha anche un valore del campo di lunghezza pari, l'euristica eliminerebbe o contrassegnerebbe il pacchetto associato, poiché è probabile che faccia parte del tentativo di exploit di CVE-2020-16898.
Mitigazione contro CVE-2020-16898
Per quanto riguarda le tecniche di mitigazione, l'applicazione di patch è obbligatoria ed è il modo più semplice per proteggersi dagli exploit. Se una patch non è possibile, puoi disabilitare IPv6 come misura di mitigazione. La disattivazione può essere eseguita sulla scheda NIC o sul perimetro della rete per eliminare il traffico IPv6.
Anche, è possibile bloccare o rilasciare gli annunci del router ICMPv6 nel perimetro della rete. Si prega di notare che Windows Defender e Windows Firewall non interrompono il proof-of-concept quando abilitato. I ricercatori non sono sicuri se l'attacco possa avere successo incanalando il traffico ICMPv6 su IPv4 tramite tecnologie come 6to4 o Teredo.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: