Microsoft a averti ses clients ce mardi de corriger une vulnérabilité critique d’exécution de code à distance TCP/IP (RCE) avec une probabilité accrue d’exploitation qui affecte tous les systèmes Windows utilisant IPv6, qui est activé par défaut.
Découvert par XiaoWei de Kunlun Lab et suivi sous le numéro CVE-2024-38063, ce bogue de sécurité est causé par une faiblesse de sous-écoulement d’entiers, que les attaquants pourraient exploiter pour déclencher des débordements de tampon pouvant être utilisés pour exécuter du code arbitraire sur des systèmes Windows 10, Windows 11 et Windows Server vulnérables.
« Compte tenu de son préjudice, je ne divulguerai pas plus de détails à court terme », a tweeté le chercheur en sécurité, ajoutant que le blocage d’IPv6 sur le pare-feu Windows local ne bloquera pas les exploits car la vulnérabilité est déclenchée avant qu’elle ne soit traitée par le pare-feu.
Comme Microsoft l’a expliqué dans son avis de mardi, les attaquants non authentifiés peuvent exploiter la faille à distance dans des attaques de faible complexité en envoyant à plusieurs reprises des paquets IPv6 qui incluent des paquets spécialement conçus.
Microsoft a également partagé son évaluation de l’exploitabilité de cette vulnérabilité critique, en l’étiquetant avec une étiquette « exploitation plus probable », ce qui signifie que les acteurs de la menace pourraient créer du code d’exploitation pour « exploiter systématiquement la faille dans les attaques. »
« De plus, Microsoft est au courant des cas passés d’exploitation de ce type de vulnérabilité. Cela en ferait une cible attrayante pour les attaquants, et donc plus probable que des exploits puissent être créés », explique Redmond.
« En tant que tels, les clients qui ont examiné la mise à jour de sécurité et déterminé son applicabilité dans leur environnement doivent la traiter avec une priorité plus élevée. »
Comme mesure d’atténuation pour ceux qui ne peuvent pas installer immédiatement les mises à jour de sécurité Windows de cette semaine, Microsoft recommande de désactiver IPv6 pour supprimer la surface d’attaque.
Cependant, sur son site Web de support, la société indique que la pile de protocoles réseau IPv6 est une « partie obligatoire de Windows Vista et Windows Server 2008 et versions ultérieures » et ne recommande pas de désactiver IPv6 ou ses composants car cela pourrait entraîner l’arrêt de certains composants Windows.travailler.
Vulnérabilité vermifuge
Dustin Childs, responsable de la sensibilisation aux menaces à l’initiative Zero Day de Trend Micro, a également qualifié le bogue CVE-2024-38063 de l’une des vulnérabilités les plus graves corrigées par Microsoft ce Patch Tuesday, le qualifiant de faille vermifuge.
« Le pire est probablement le bogue dans TCP / IP qui permettrait à un attaquant distant et non authentifié d’obtenir une exécution de code élevée simplement en envoyant des paquets IPv6 spécialement conçus à une cible affectée », a déclaré Childs.
« Cela signifie qu’il est vermifuge. Vous pouvez désactiver IPv6 pour empêcher cet exploit, mais IPv6 est activé par défaut sur à peu près tout. »
Alors que Microsoft et d’autres sociétés ont averti les utilisateurs de Windows de corriger leurs systèmes dès que possible pour bloquer les attaques potentielles à l’aide des exploits CVE-2024-38063, ce n’est pas la première et ne sera probablement pas la dernière vulnérabilité Windows exploitable à l’aide de paquets IPv6.
Au cours des quatre dernières années, Microsoft a corrigé plusieurs autres problèmes IPv6, y compris deux failles TCP / IP répertoriées comme CVE-2020 – 16898/9 (également appelées Ping de la mort), qui peuvent être exploitées dans des attaques d’exécution de code à distance (RCE) et de déni de service (DoS) à l’aide de paquets publicitaires malveillants de routeur ICMPv6.
De plus, un bogue de fragmentation IPv6 (CVE-2021-24086) a rendu toutes les versions de Windows vulnérables aux attaques DoS, et une faille DHCPv6 (CVE-2023-28231) a permis d’obtenir RCE avec un appel spécialement conçu.
Même si les attaquants ne les exploitent pas encore dans des attaques généralisées ciblant tous les appareils Windows compatibles IPv6, il est toujours conseillé aux utilisateurs d’appliquer immédiatement les mises à jour de sécurité Windows de ce mois-ci en raison de la probabilité accrue d’exploitation de CVE-2024-38063.