Zero-click уязвимость обнаружена во всех версиях Windows

Ошибка TCP/IP распространяется по системам с IPv6 без участия пользователя.

Microsoft предупредила пользователей о критической уязвимости TCP/IP, которая позволяет удалённое выполнение кода (RCE) на всех системах Windows с включенным по умолчанию протоколом IPv6.

Уязвимость CVE-2024-38063 (оценка CVSS: 9.8) связана с целочисленным переполнением (Integer Underflow) и может быть использована злоумышленниками для переполнения буфера и выполнения произвольного кода на уязвимых системах Windows 10, Windows 11 и Windows Server. Ошибка была обнаружена исследователем безопасности из Kunlun Lab, известным под псевдонимом XiaoWei

XiaoWei подчеркнул, что из-за серьёзности угрозы он не будет раскрывать дополнительные детали в ближайшее время. Исследователь также отметил, что блокировка IPv6 через локальный брандмауэр Windows не предотвратит эксплуатацию уязвимости, так как ошибка активируется до обработки пакетов брандмауэром.

Microsoft в своём официальном уведомлении пояснила, что атакующие могут использовать ошибку удалённо, многократно отправляя специально сформированные пакеты IPv6. Проблема отличается низкой сложностью эксплуатации, что повышает вероятность её использования в атаках. Компания отметила, что аналогичные уязвимости ранее уже были объектами атак, что делает данную ошибку особенно привлекательной для злоумышленников.

Для тех, кто не может немедленно установить последние обновления безопасности, Microsoft рекомендует отключить IPv6, чтобы снизить риск атаки. Однако компания предупреждает, что отключение IPv6 может вызвать сбои в работе некоторых компонентов Windows, так как протокол является обязательной частью операционной системы, начиная с версии Windows Vista и Windows Server 2008.

В Trend Micro назвали CVE-2024-38063 одной из самых серьёзных уязвимостей, исправленных Microsoft в рамках текущего обновления безопасности. Компания подчеркнула, что уязвимость имеет статус «wormable», что означает возможность её распространения между системами без участия пользователя, аналогично компьютерным червям. Trend Micro также напомнила, что IPv6 включен по умолчанию практически на всех устройствах, что усложняет предотвращение атак.

Источник

 

[Dragokas]

Для тех, кто по каким-то причинам не может установить обновление:

Как отключить протокол IPv6?

Выполнить в командной строке, запущенной от имени Администратора:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" /v DisabledComponents /t REG_DWORD /d 255 /f
netsh interface teredo set state disabled
netsh interface ipv6 6to4 set state state=disabled undoonstop=disabled
netsh interface ipv6 isatap set state state=disabled

Перезагрузить ОС.

Это может нарушить работу вашей сети!

Как заново включить протокол IPv6:

reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" /v DisabledComponents /f
netsh interface teredo set state default
netsh interface ipv6 6to4 set state state=enabled
netsh interface ipv6 isatap set state state=enabled

 

[ScriptMakeR]

Анализ CVE-2024-38063: как один пакет может захватить ваш компьютер
​

Эксперты проанализировали критическую уязвимость в TCP/IP драйвере.

Исследователь безопасности Маркус Хатчинс опубликовал статью , в которой анализируется CVE-2024-38063 — критическая уязвимость в Windows 10/11, позволяющая выполнить удаленное выполнение кода (RCE) через пакеты IPv6. Уязвимость получила оценку 9,8 по шкале CVSS, что подчеркивает ее опасность.

В своем отчете Хатчинс описывает, как он изучал уязвимость, начиная с момента выпуска последнего патча Windows 13 августа. Он отметил, что данная уязвимость затрагивает наиболее легко доступную часть ядра Windows — драйвер tcpip.sys, отвечающий за обработку TCP/IP пакетов.

"Разбор патча для выявления изменений в коде занял мгновение. Было внесено только одно изменение в функцию Ipv6pProcessOptions(), что подтвердило наличие уязвимости. Это был самый легкий анализ патча, который я когда-либо делал," — пишет Хатчинс.

Несмотря на простоту обнаружения уязвимости, процесс реверс-инжиниринга и разработки рабочего эксплойта оказался значительно сложнее. Исследователь провел недели, разбирая код и тестируя различные сценарии. Он создал proof-of-concept (PoC), который вызывает DoS-атаку, но не приводит к полноценному удаленному выполнению кода.

"Я хотел опубликовать рабочий PoC для DoS, но оказалось крайне трудно надежно спровоцировать баг, что делает его малопригодным для широкого использования," — отмечает Хатчинс.

Тем не менее, другой исследователь, @ynwarcs, сумел найти способ эксплуатации уязвимости, что подтверждается опубликованным им PoC. Этот код доступен по ссылке здесь .

Хатчинс завершает отчет, подчеркивая важность изучения подобных уязвимостей и делится своим опытом:

"Я многому научился, работая над этим исследованием, и надеюсь, что статья оказалась полезной и для вас," — заключает он.

Источник