Uma vulnerabilidade crítica de segurança foi corrigida no Windows na Patch Tuesday de outubro de 2020. CVE-2020-16898 é uma falha descoberta nas opções de anúncio do roteador IPv6, também conhecida como opções DNS RA. A falha reside na pilha TCP / IP do Windows, responsável por lidar com pacotes RA.
Se a vulnerabilidade for explorada, cenários de ataque atuais incluem ataques de negação de serviço, e a possibilidade de execução remota de código. Infelizmente, CVE-2020-16898 afeta várias versões do Windows, todos compatíveis com RDNSS IPv6. Este último foi adicionado ao sistema operacional a partir da versão 1709 do Windows 10, pesquisadores de segurança avisam.
É digno de nota que os pesquisadores apelidaram a falha de "Mau Vizinho".
CVE-2020-16898 Vulnerabilidade de mau vizinho
De acordo com a McAfee, o impacto mais imenso da falha diz respeito ao Windows 10 sistemas. Com a ajuda de atualizações do Windows, a boa notícia é que a superfície de ameaça deve ser minimizada em nenhum momento.
As estatísticas do Shodan mostram que o número de servidores Windows 2019 máquinas com endereços IPv6 não são mais do que 1000. Contudo, esses dados podem não ser confiáveis "porque a maioria dos servidores estão atrás de firewalls ou hospedados por provedores de serviços em nuvem (CSPs) e não acessível diretamente por meio de varreduras Shodan,”McAfee aponta.
Os pesquisadores “acreditam que a vulnerabilidade pode ser detectada com uma heurística simples que analisa todo o tráfego ICMPv6 de entrada, procurando por pacotes com um campo Tipo ICMPv6 de 134 - indicando anúncio de roteador - e um campo de opção ICMPv6 de 25 - indicando servidor DNS recursivo (RDNSS).”
Quando a opção RDNSS também tem um valor de campo de comprimento que é par, a heurística descartaria ou sinalizaria o pacote associado, já que é provavelmente parte da tentativa de exploits de CVE-2020-16898.
Mitigação contra CVE-2020-16898
Quanto às técnicas de mitigação, patching é obrigatório e é a maneira mais fácil de se proteger contra exploits. Se um patch não for possível, você pode desativar o IPv6 como uma medida de mitigação. Desativá-lo pode ser feito na NIC ou no perímetro da rede para reduzir o tráfego IPv6.
Além disso, você pode bloquear ou descartar anúncios de roteador ICMPv6 no perímetro da rede. Por favor note que Windows Defender e o Firewall do Windows não consegue interromper a prova de conceito quando habilitado. Os pesquisadores não têm certeza se o ataque pode ter sucesso através do túnel do tráfego ICMPv6 sobre IPv4 por meio de tecnologias como 6to4 ou Teredo.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: