В реализации IPv6 в операционной системе Windows нашлась уязвимость, которая позволяет заражать компьютеры удаленно

Компания Microsoft предупредила о необходимости установить патч, закрывающий уязвимость, которая угрожает всем системам Windows, использующим включенный по умолчанию протокол IPv6. Уязвимость связана с реализацией TCP/IP - она допускает удаленное выполнение кода, и вероятность ее эксплуатации оценивается как высокая.

В Windows найдена новая уязвимость

Компания Microsoft предупредила пользователей о критической уязвимости TCP/IP, которая позволяет удаленное выполнение кода (RCE) на всех системах с операционной системой (ОС) Windows с включенным по умолчанию протоколом IPv6. Об этом в середине августа 2024 г. сообщило издание Bleepingсomputer.

Данное открытие совершил эксперт Сяо Вэй (Xiao Wei) из Kunlun Lab. Уязвимости присвоен номер CVE-2024-38063 — она вызвана ошибкой целочисленного переполнения (Integer Underflow) и может эксплуатироваться для выполнения произвольного кода в уязвимых системах Windows 10, Windows 11 и Windows Server. Автор открытия заявил, что из-за степени угрозы он в ближайшей перспективе не станет раскрывать подробностей об уязвимости; но предупредил, что блокировка IPv6 на локальном брандмауэре Windows не закроет уязвимости, поскольку она эксплуатируется ещё до обработки брандмауэром.

«Учитывая его вредность, я не буду раскрывать подробности в ближайшее время», - написал исследователь безопасности Сяо Вэй на платформе Х, добавив, что блокировка IPv6 на локальном брандмауэре Windows не блокирует эксплойты, поскольку уязвимость срабатывает до того, как она будет обработана брандмауэром.

В реализации IPv6 в операционной системе Windows нашлась уязвимость

Как объясняют в компании Microsoft в своем сообщении, неавторизованные злоумышленники могут удаленно использовать этот недостаток в кибератаках низкой сложности путем многократной отправки пакетов IPv6, содержащих специально созданные пакеты. В Microsoft также поделились своей оценкой возможности эксплуатации этой критической уязвимости, отметив ее как «эксплуатация более вероятна», что означает, что злоумышленники могут создать код эксплойта для «последовательного использования недостатка в кибератаках». Более того, известно о прошлых случаях использования этого типа уязвимости. Это делает ее привлекательной целью для злоумышленников, а значит, повышает вероятность создания эксплойтов.

Рекомендации по безопасности

Поэтому клиентам Microsoft, которые ознакомились с обновлением безопасности в Windows и определили его применимость в своей среде, следует отнестись к этому с повышенным приоритетом. В качестве меры смягчения последствий для тех, кто не может сразу установить обновления безопасности, компания-разработчик рекомендует отключить IPv6, чтобы устранить возможность ИТ-атаки. Однако на своем сайте поддержки компания заявляет, что стек сетевых протоколов IPv6 является «обязательной частью Windows Vista и Windows Server 2008 и более новых версий», и не рекомендует отключать IPv6 или его компоненты, поскольку это может привести к прекращению работы некоторых компонентов Windows.

Руководитель отдела осведомленности об угрозах в программе Zero Day Initiative компании Trend Micro Дастин Чайлдс (Dustin Childs) назвал CVE-2024-38063 одной из наиболее серьезных уязвимостей, исправленных в вышедшем на этой неделе обновлении Windows. Предотвратить эксплуатацию уязвимости можно, полностью заблокировав IPv6, но этот протокол включен по умолчанию практически во всех компонентах. Это значит, что хакеры могут написать вредоносную программу - червь, которая самостоятельно распространяется через компьютерные сети, пользуясь ошибкой CVE-2024-38063.

Китайские ИБ-специалисты

В 2022 г. китайские специалисты по информационной безопасности (ИБ) получили $1,88 млн на Tianfu Cup, крупнейшем и самом престижном хакерском соревновании в стране. Во время состязания были успешно взломаны Windows 10, iOS 15, Google Chrome, Apple Safari, Microsoft Exchange Server, Ubuntu 20 и не только.

Tianfu Cup очень похож на известное соревнование Pwn2Own и был создан именно после того, как в 2018 г. китайское правительство запретило местным ИБ-исследователям участвовать в хакерских конкурсах, организованных за рубежом. Правила Tianfu Cup и Pwn2Own похожи: суть состязания заключается в том, чтобы использовать ранее неизвестные уязвимости и с их помощью взломать конкретное приложение или устройство. Если эксплоит сработал, и кибератака удалась, исследователи получают за это баллы, а в итоге и денежные призы.

Победителями в 2022 г. стали эксперты китайской ИБ-фирмы Kunlun Lab, которые забрали домой $654 тыс., что составляет примерно треть от общего призового фонда.