Quelle: msrc.microsoft.com (Englisch)
Microsoft hat seine Kunden am Dienstag gewarnt, einen Patch für eine kritische TCP/IP-Remotecodeausführungsschwachstelle (RCE) zu installieren, die mit erhöhter Wahrscheinlichkeit ausgenutzt werden kann und alle Windows-Systeme betrifft, die IPv6 verwenden, das standardmäßig aktiviert ist.
Der von Kunlun Labs XiaoWei entdeckte und als CVE-2024-38063 verfolgte Sicherheitsfehler wird durch eine Integer Underflow-Schwachstelle verursacht, die Angreifer ausnutzen können, um Pufferüberläufe auszulösen, die zur Ausführung von beliebigem Code auf anfälligen Windows 10-, Windows 11- und Windows Server-Systemen verwendet werden können.
„In Anbetracht des Schadens werde ich kurzfristig keine weiteren Details bekannt geben“, twitterte der Sicherheitsforscher und fügte hinzu, dass das Blockieren von IPv6 auf der lokalen Windows-Firewall die Angriffe nicht verhindern kann, da die Schwachstelle ausgelöst wird, bevor sie von der Firewall verarbeitet wird.
Wie Microsoft in seinem Advisory vom Dienstag erläuterte, können nicht authentifizierte Angreifer die Schwachstelle in Angriffen mit geringem Aufwand ausnutzen, indem sie wiederholt IPv6-Pakete senden, die speziell gestaltete Pakete enthalten.
Microsoft teilte auch seine Einschätzung der Ausnutzbarkeit dieser kritischen Schwachstelle mit und stufte sie als „Ausnutzung wahrscheinlich“ ein, was bedeutet, dass Bedrohungsakteure Exploit-Code erstellen könnten, um „die Schwachstelle konsequent in Angriffen auszunutzen“.
„Darüber hinaus ist Microsoft bekannt, dass diese Art von Sicherheitslücke in der Vergangenheit bereits ausgenutzt wurde. Dies würde sie zu einem attraktiven Ziel für Angreifer machen und damit die Wahrscheinlichkeit erhöhen, dass Exploits erstellt werden könnten“, erklärt Redmond.
„Daher sollten Kunden, die das Sicherheitsupdate geprüft und seine Anwendbarkeit in ihrer Umgebung festgestellt haben, dies mit höherer Priorität behandeln.“
Als Abhilfemaßnahme für diejenigen, die die Windows-Sicherheitsupdates dieser Woche nicht sofort installieren können, empfiehlt Microsoft die Deaktivierung von IPv6, um die Angriffsfläche zu beseitigen.
Auf seiner Support-Website erklärt das Unternehmen jedoch, dass der IPv6-Netzwerkprotokollstapel ein „obligatorischer Bestandteil von Windows Vista und Windows Server 2008 und neueren Versionen“ ist und empfiehlt nicht, IPv6 oder seine Komponenten zu deaktivieren, da dies dazu führen könnte, dass einige Windows-Komponenten nicht mehr funktionieren.