Киберкомандование США предупреждает клиентов Microsoft о необходимости незамедлительно исправить свои системы критической уязвимостью CVE-2020-16898, которую можно использовать удаленно, которая была устранена во вторник исправлений в этом месяце.
«Обновите свое программное обеспечение Microsoft сейчас, чтобы ваша система не использовалась: в частности, CVE-2020-16898 следует исправить или устранить немедленно, поскольку уязвимые системы могут быть скомпрометированы удаленно», - говорится в сообщении Киберкомандования США в своем твите ранее сегодня.
Microsoft заявляет, что ошибка CVE-2020-16898 , также известная как «Плохой сосед», представляет собой уязвимость удаленного выполнения кода (RCE) в стеке TCP / IP Windows, которая также может использоваться для инициирования отказа в обслуживании (DoS), ведущего к синему экрану смерти (BSoD).
Этой ошибкой могут удаленно воспользоваться неаутентифицированные злоумышленники, которые отправляют вредоносные пакеты ICMPv6 Router Advertisement на целевой компьютер Windows.
Bad Neighbor влияет как на клиентскую (Windows 10 версии 1709 до 2004), так и на серверную (Windows Server версии 1903 до 2004 и Windows Server 2019) платформы, что делает ее критической уязвимостью для всех современных сред Windows.
В октябре 2020 года во вторник исправлений Microsoft было исправлено 87 уязвимостей, 12 из которых были классифицированы как критические, 74 - как важные и одна - как умеренная.
Отказ в обслуживании, проверочные эксплойты
Согласно сообщению в блоге, опубликованному вчера McAfee Labs, Microsoft уже поделилась доказательством концепции (POC) с участниками MAPP.«Доказательство концепции, предоставленное участникам MAPP (Microsoft Active Protection Program), чрезвычайно просто и совершенно надежно», - заявили в McAfee Labs.
«Это приводит к немедленному возникновению BSOD (синий экран смерти), но в большей степени указывает на вероятность эксплуатации для тех, кому удастся обойти средства защиты Windows 10 и Windows Server 2019».
Основываясь на деталях, предоставленных Microsoft, британская компания по безопасности Sophos также смогла создать POC отказа в обслуживании, который вызывает BSOD на любых уязвимых устройствах Windows 10 или Windows Server.
Не будет ничего удивительного, если злоумышленники вскоре создадут свои собственные DoS-эксплойты.
В то время как разработка POC отказа в обслуживании, которая позволит злоумышленникам удаленно вызывать BSOD, довольно проста, создание эксплойта RCE чрезвычайно сложно.
Как объяснили исследователи SophosLabs Offensive Security, для успешного выполнения удаленного кода злоумышленник должен будет надежно обойти канарейки стека и рандомизацию адресного пространства ядра ( ASLR) .
«Даже в этом случае угрозы отказа в обслуживании по желанию с относительно легко создаваемым пакетом должно быть достаточно, чтобы вызвать быстрое исправление - что является единственным реальным исправлением этой уязвимости», - добавил Sophos.
CVE-2020-16898 смягчение последствий
Корпорация Майкрософт предоставляет обходной путь для всех клиентов, которые не могут сразу применить обновление для системы безопасности, устраняющее эту критическую ошибку безопасности.Microsoft советует клиентам, которые не могут установить обновление, отключить параметр ICMPv6 Recursive DNS Server (RDNSS) с помощью следующей команды PowerShell в системах под управлением Windows 1709 и более поздних версий (перезагрузка не требуется):
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable
Чтобы повторно включить ICMPv6 RDNSS после применения обновления безопасности, вы должны использовать эту команду PowerShell (перезагрузка не требуется):
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable
Однако следует отметить, что это краткосрочное исправление, которое блокирует известные векторы атак, и что вы можете полностью снизить уязвимость и защитить уязвимые системы, только применив обновление безопасности.
Перевод с английского - Google
Bleeping Computer