Microsoft advirtió el martes a los clientes que parchearan una vulnerabilidad crítica de ejecución remota de código (RCE) TCP/IP con mayor probabilidad de explotación que afecta a todos los sistemas Windows que utilizan IPv6, que está habilitado de forma predeterminada.
Seguimiento como CVE-2024-38063Este error de seguridad es causado por un Desbordamiento de enteros Una debilidad que los atacantes podrían aprovechar para provocar desbordamientos de búfer que pueden usarse para ejecutar código arbitrario en sistemas vulnerables Windows 10, Windows 11 y Windows Server.
Como explica la compañía, los atacantes no autenticados pueden explotar de forma remota la falla en ataques de baja complejidad enviando repetidamente paquetes IPv6 que contienen paquetes especialmente diseñados.
Microsoft también compartió su evaluación de la explotabilidad de esta vulnerabilidad crítica, etiquetándola como “Explotación más probable”, lo que significa que los actores de amenazas podrían crear código de explotación para “explotar sistemáticamente la falla en los ataques”.
“Además, Microsoft tiene conocimiento de casos anteriores de explotación de este tipo de vulnerabilidad. Esto lo convertiría en un objetivo atractivo para los atacantes y, por lo tanto, sería más probable que creara exploits”, dijo Redmond. explicar.
“Por lo tanto, los clientes que revisaron la actualización de seguridad y determinaron su aplicabilidad en su entorno deben tratar esto con mayor prioridad. »
Como mitigación para aquellos que no pueden instalar inmediatamente las actualizaciones de seguridad de Windows de esta semana, Microsoft recomienda desactivar IPv6 para eliminar la superficie de ataque.
Sin embargo, en su sitio web de soporteLa compañía dice que la pila de protocolos de red IPv6 es una “parte requerida de Windows Vista y Windows Server 2008 y versiones más recientes” y no recomienda deshabilitar IPv6 o sus componentes porque esto podría causar que algunos componentes dejen de funcionar en Windows.
Vulnerabilidad desparasitada
Dustin Childs, gerente de concienciación sobre amenazas de la Iniciativa Día Cero de Trend Micro, también calificó el error CVE-2024-38063 como una de las vulnerabilidades más graves parcheadas por Microsoft este martes de parches, calificándolo de falla que se puede eliminar con gusanos.
“Probablemente lo peor es el error en TCP/IP que permitiría a un atacante remoto y no autenticado lograr una alta ejecución de código simplemente enviando paquetes IPv6 especialmente diseñados a un objetivo afectado”, dijo Childs.
“Eso significa que tiene gusanos. Puede desactivar IPv6 para evitar este exploit, pero IPv6 está activado de forma predeterminada en casi todo. »
Aunque Microsoft y otras compañías han advertido a los usuarios de Windows que parcheen sus sistemas lo antes posible para bloquear posibles ataques utilizando exploits CVE-2024-38063, esta no es la primera y probablemente no será la última vulnerabilidad que Windows pueda operar usando paquetes IPv6.
En los últimos cuatro años, Microsoft ha solucionado varios otros problemas de IPv6, incluidos dos fallos de TCP/IP rastreados como CVE-2020-16898/9 (también conocido como Ping of Death), que puede explotarse en ataques de ejecución remota de código (RCE) y de denegación de servicio (DoS) utilizando paquetes maliciosos de publicidad de enrutador ICMPv6.
Además, un error de fragmentación de IPv6 (CVE-2021-24086) dejó todas las versiones de Windows vulnerables a ataques DoS y una falla de DHCPv6 (CVE-2023-28231) permitió obtener un RCE con un atractivo especialmente diseñado.
Aunque los atacantes aún no los han explotado en ataques generalizados dirigidos a todos los dispositivos Windows habilitados para IPv6, se recomienda a los usuarios que apliquen inmediatamente las actualizaciones de seguridad de Windows de este mes debido a la mayor probabilidad de explotación de CVE-2024-38063.