Een kritieke kwetsbaarheid in de beveiliging werd in Windows gepatcht op Patch Tuesday van oktober 2020. CVE-2020-16898 is een fout ontdekt in IPv6 Router Advertentie-opties, ook wel bekend als DNS RA-opties. De fout zit in de Windows TCP / IP-stack, verantwoordelijk voor het afhandelen van RA-pakketten.
Als de kwetsbaarheid wordt misbruikt, huidige aanvalsscenario's omvatten denial of service-aanvallen, en de mogelijkheid van uitvoering van externe code. Helaas, CVE-2020-16898 is van invloed op meerdere Windows-versies, die allemaal IPv6 RDNSS ondersteunen. Dit laatste is vanaf versie toegevoegd aan het besturingssysteem 1709 Windows 10, security onderzoekers waarschuwen.
Het is opmerkelijk dat onderzoekers de fout 'Bad Neighbor' hebben genoemd.
CVE-2020-16898 Kwetsbaarheid door slechte buur
Volgens McAfee, de meest immense impact van de fout betreft Windows 10 systemen. Met behulp van Windows Updates, het goede nieuws is dat het dreigingsoppervlak binnen de kortste keren moet worden geminimaliseerd.
Shodan-statistieken laten zien dat het aantal Windows Server 2019 machines met IPv6-adressen zijn niet meer dan 1000. Echter, deze gegevens zijn mogelijk niet betrouwbaar “omdat de meeste servers zich achter firewalls bevinden of worden gehost door Cloud Service Providers (CSP's) en niet rechtstreeks bereikbaar via Shodan-scans,”Merkt McAfee op.
De onderzoekers "geloven dat de kwetsbaarheid kan worden opgespoord met een eenvoudige heuristiek die al het inkomende ICMPv6-verkeer parseert., op zoek naar pakketten met een ICMPv6 Type veld van 134 - met vermelding van routeradvertentie - en een ICMPv6-optieveld van 25 - met vermelding van recursieve DNS-server (RDNSS)."
Wanneer de RDNSS-optie ook een veldwaarde voor de lengte heeft die even is, de heuristiek zou het bijbehorende pakket laten vallen of markeren, aangezien het waarschijnlijk deel uitmaakt van poging tot exploits van CVE-2020-16898.
Mitigatie tegen CVE-2020-16898
Wat betreft mitigatietechnieken, patchen is verplicht en is de gemakkelijkste manier om te beschermen tegen exploits. Als een patch niet mogelijk is, u kunt IPv6 uitschakelen als risicobeperkende maatregel. Het uitschakelen kan worden gedaan op de NIC of aan de rand van het netwerk om IPv6-verkeer te laten vallen.
Ook, u kunt ICMPv6-routeradvertenties bij de netwerkperimeter blokkeren of laten vallen. Houdt u er rekening mee dat Windows Defender en Windows Firewall kan de proof-of-concept niet stoppen wanneer deze is ingeschakeld. De onderzoekers zijn niet zeker of de aanval kan slagen door het ICMPv6-verkeer over IPv4 te tunnelen via technologieën zoals 6to4 of Teredo.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: