Kritiek lek in Windows TCP/IP stack laat aanvaller op afstand code uitvoeren
Een kritieke kwetsbaarheid in de Windows TCP/IP stack maakt het mogelijk voor aanvallers om op afstand code op clients en servers uit te voeren. Het versturen van speciaal geprepareerde ICMPv6 Router Advertisement pakketten volstaat om systemen over te nemen. Er is geen verdere interactie van gebruikers vereist. Op een schaal van 1 tot en met 10 wat betreft de ernst van het beveiligingslek is dat met een 9,8 beoordeeld.
Microsoft heeft gisterenavond beveiligingsupdates voor de kwetsbaarheid uitgebracht, die aanwezig is in Windows 10, Windows Server 2019 en Windows Server versies 1903, 1909 en 2004. Het probleem wordt veroorzaakt wanneer ICMPv6 Router Advertisement pakketten een even "length field value" hebben. Dit zorgt voor een buffer overflow, zo blijkt uit een analyse van antivirusbedrijf McAfee.
Volgens Microsoft is er een grote kans dat er op korte termijn misbruik van de kwetsbaarheid zal plaatsvinden, die wordt aangeduid als CVE-2020-16898. "Aangezien het uitvoeren van code in TCP/IP stack plaatsvindt wordt aangenomen dat de aanvaller code met verhoogde rechten kan uitvoeren", zegt Dustin Childs van het Zero Day Initiative. Bedrijven krijgen dan ook het advies om de beveiligingsupdate zo snel als mogelijk te installeren.
Microsoft Outlook
In totaal bracht Microsoft gisterenavond beveiligingsupdates uit voor 87 kwetsbaarheden. Een ander beveiligingslek dat volgens Childs de aandacht verdient bevindt zich in Microsoft Outlook. Door het versturen van een malafide e-mail kan een aanvaller willekeurige code op het systeem met de rechten van de ingelogde gebruiker uitvoeren.
De gebruiker hoeft de e-mail daarbij niet te openen. Een weergave van het bericht in het voorbeeldvenster (preview pane) is voldoende om de kwetsbaarheid te misbruiken. Er is al proof-of-concept exploitcode die misbruik van het beveiligingslek maakt. Ook dit beveiligingslek dienen organisaties snel te patchen, stelt Childs.
Naast de kwetsbaarheden in de TCP/IP stack en Outlook zijn er andere beveiligingslekken in Windows verholpen, alsmede in Microsoft Office, JET Database Engine, Azure Functions, Exchange Server, Visual Studio, PowerShellGet .NET Framework, Microsoft Dynamics en de Windows Codecs Library. De updates worden op de meeste systemen automatisch geïnstalleerd.
Of heeft het meer te maken met een overflow die verkeerd geparsed wordt?
Op die schaal is dit probleem (wat je alleen op je eigen LAN kunt exploiteren) een stuk minder.
Op die schaal is dit probleem (wat je alleen op je eigen LAN kunt exploiteren) een stuk minder.
Op die schaal is dit probleem (wat je alleen op je eigen LAN kunt exploiteren) een stuk minder.
Op die schaal is dit probleem (wat je alleen op je eigen LAN kunt exploiteren) een stuk minder.
Volgens firma Northwave kan het ook vanaf internet geexploit worden:
https://northwave-security.com/threat-response-cve-2020-16898-bad-neighbor-remote-code-execution-in-windows-tcp-ip-stack/
Volgens firma Northwave kan het ook vanaf internet geexploit worden:
https://northwave-security.com/threat-response-cve-2020-16898-bad-neighbor-remote-code-execution-in-windows-tcp-ip-stack/
https://unit42.paloaltonetworks.com/cve-2020-16898/
Op die schaal is dit probleem (wat je alleen op je eigen LAN kunt exploiteren) een stuk minder.
Een ongepatchte windows server die aan het internet hangt (ipv6) kan je heel simpel onderuit halen en met ietsje meer moeite overnemen. Vandaar het getal 9.8. Het is prijsschieten op een intern netwerk als je als guest aanwezig bent. Dus als de sodemieter patchen.
Volgens firma Northwave kan het ook vanaf internet geexploit worden:
https://northwave-security.com/threat-response-cve-2020-16898-bad-neighbor-remote-code-execution-in-windows-tcp-ip-stack/
Staat er nog steeds hoor (15-10):
Risk
No public exploit code is available currently, however Microsoft has shared a proof-of-concept with a number of research groups which results in an immediate Blue Screen of Death. In order to exploit this vulnerability, an attacker must be able to communicate with the target over IPv6, either via the Internet or on a local network. Please note that IPv6 is enabled by default on local networks on most machines.
Ja - maar de vraag is - weet de bug dat ook ?
Als je een ICMPv6 RA stuurt (gewoon , routable source IP , routable destination IP ) - werkt de exploit dan ?
De severity rating - en ontbreken van 'workaround' opties lijkt te suggeren dat de exploit echt remote mogelijk is.
Er zal zeker geen globale filtering zijn op 'ICMPv6' .
Filtering op link-local sources - twijfelachtig ....
FWIW, de bug zit zo te lezen in de DNS-via-RA code.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.