На этой неделе компания Microsoft предупредила пользователей об исправлении критической уязвимости TCP/IP, допускавшей удаленное выполнение произвольного кода. Проблема затрагивает все Windows-системы, использующие протокол IPv6, включенный по умолчанию.
Уязвимость была обнаружена специалистами Kunlun Lab и получила идентификатор CVE-2024-38063. Баг связан с целочисленным антипереполнением (integer underflow), которое может использоваться злоумышленниками для переполнения буфера и последующего выполнения произвольного кода в системах под управлением Windows 10, Windows 11 и Windows Server.
Исследователи сообщили, что не будут раскрывать детали уязвимости в ближайшее время, так как проблема опасна, и пользователям нужно дать больше времени на установку патчей. При этом в Kunlun Lab отметили, что блокировка IPv6 на уровне локального брандмауэра Windows не остановит эксплоиты, поскольку уязвимость проявляется еще до срабатывания брандмауэра.
Как объясняют представители Microsoft, неавторизованные злоумышленники могут удаленно использовать эту проблему в атаках низкого уровня сложности, путем многократной отправки специально подготовленных пакетов IPv6.
Также в компании отметили, что эксплуатация этой критической уязвимости весьма вероятна, то есть злоумышленники могут создать эксплоит для использования уязвимости в атаках.
«Microsoft известно о прошлых случаях использования уязвимостей такого типа. Это делает проблему привлекательной целью для злоумышленников, а значит, повышает вероятность создания эксплоитов», — предупреждают в компании.
Тем, кто по какой-то причине не может сразу установить исправления, выпущенные на этой неделе, Microsoft рекомендует отключить IPv6 вовсе, чтобы избежать риска возможных атак.
При этом на сайте поддержки Microsoft указано, что стек сетевых протоколов IPv6 является «неотъемлемой частью Windows Vista, Windows Server 2008 и более новых версий ОС» и не рекомендует отключать IPv6 или его компоненты, поскольку это может спровоцировать некорректную работу некоторых компонентов ОС.
Глава Trend Micro Zero Day Initiative пишет, что уязвимость CVE-2024-38063 является одной из наиболее серьезных проблем, исправленных Microsoft в этом месяце, и предупреждает, что баг обладает потенциалом червя.
«Самой серьезной [в этом месяце], вероятно, является уязвимость TCP/IP, которая позволяет удаленному злоумышленнику, не прошедшему аутентификацию, добиться выполнения кода, просто отправляя специально подготовленные пакеты IPv6 цели, — пишет Чайлдс. — Это означает, что проблема обладает потенциалом червя. Вы можете отключить IPv6, чтобы предотвратить эксплуатацию, но IPv6 включен по умолчанию практически на всех устройствах».