[English]Noch eine kleine Nachlese vom August 2023 Patchday (Blog-Leser haben angeregt, das mal in einem separaten Beitrag aufzubereiten). Zum 13. August 2024 wurde die 0-day-Schwachstelle CVE-2024-38063 in Windows bekannt. Es handelt sich um eine Remote-Code-Execution-Schwachstelle in der TCP/IP-Implementierung von Windows steckt. Angreifer können über IPv6-Pakete einen Host kompromittieren und dort Code ausführen. Weben der Bewertung mit dem CVEv3 Score 9.8 (critical, “Exploitation More Likely”) empfiehlt Redmond Administratoren momentan IPv6 zu deaktivieren, hat aber auch Sicherheitsupdates für Windows bereitgestellt. Hier sollten Administratoren also reagieren.
TCP-IP-Schwachstelle CVE-2024-38063
Ich hatte die 0-day-Schwachstelle CVE-2024-38063 in Windows nach einem Hinweis von Tenable kurz im Blog-Beitrag Microsoft Security Update Summary (9. Juli 2024) aufgegriffen. Es handelt sich um eine Remote Code Execution-Schwachstelle (RCE) in der Windows TCP/IPv6-Implementierung, verursacht durch einen Integer Underflow-Fehler. Diese RCE-Schwachstelle wurde mit einem CVEv3 Score 9.8 als äußerst kritisch und die als “Exploitation More Likely” eingestuft.
Das Problem: Ein Angreifer kann diese Sicherheitslücke ohne Authentifizierung und ohne Benutzeraktion remote ausnutzen, indem er wiederholt speziell gestaltete IPv6-Pakete an einen Windows Host sendet. Microsoft hat in CVE-2024-38063 ausgeführt, dass nur nur IPv6-Pakete zur Ausnutzung dieser Sicherheitslücke missbraucht werden können und empfiehlt IPv6 zu deaktivieren.
Die Schwachstelle wurde von XiaoWei vom Kunlun-Labor entdeckt (Tweet auf x) und dann an Microsoft gemeldet. Details zu dieser Schwachstelle wurden bisher nicht veröffentlicht. Die Kollegen von Bleeping Computer haben noch ein Statement von Dustin Childs, Head of Threat Awareness bei der Zero Day Initiative von Trend Micro, zitiert. Dustin Childs bezeichnet die Schwachstelle als “wormable”, ein Angreifer könnte also seinen Schadcode im Netzwerk auf weitere Rechner verbreiten.
Proof of Concept verfügbar
Ergänzung: Robel Campbell, Principal Security Researcher at Blackpoint Cyber, hat auf X einen Tweet abgesetzt, in dem er angibt, durch Lektüre der RFCs und der Teile über optionale Header in IPv6-Paketen einen PoC entwickeln konnte. Der Proof of Concept-Exploit (POC) verursacht einen Absturz.
Die Fehlerprüfung sei im PoC-Fall nicht sehr detailliert. Im Wesentlichen erzeugt der Unterlauf (Integer Underflow) einen großen Wert, der in einer Schleife verwendet wird, die schließlich Daten außerhalb der Grenzen schreibt und einen Absturz verursacht. Campbell kann sich vorstellen, dass dies durch Heap-Massagetechniken und die Beschädigung benachbarter Objekte im Heap für Angriffe eingesetzt werden kann. Der PoC ist aber quick-n-dirty, und Campbell gibt an, dass er den Absturz nur einmal auslösen konnte. Der Crash Dump habe ihm nicht wirklich nicht viel zur Analyse geholfen. Administratoren sollten also zügig reagieren.
Updates von Microsoft
Microsoft hat zum 13. August 2024 eine Reihe von Sicherheitsupdates für betroffene Windows-Systeme bereitgestellt. Nachfolgend habe ich mal die betreffenden Pakete herausgezogen, die unter CVE-2024-38063 gelistet werden.
Ich habe mal in die Supportartikel für die obigen Beiträge geschaut, in keinem Knowledge-Base-Artikel ist die Schwachstelle CVE-2024-38063 erwähnt. Es ist also unklar, ob die Schwachstelle geschlossen ist, sobald die obigen genannten Update-Pakete installiert sind.
Weitere Handlungsanweisungen
In den Kommentaren hier im Blog sowie im Beitrag Windows Server 2019/Windows 10 Enterprise 2019 LTSC: Performance-Probleme mit Update KB5041578 deutet sich ja an, dass August 2024-Updates u.U. wegen Problemen nicht installiert werden können. Von Microsoft gibt es daher die Empfehlung, IPv6 zu deaktivieren, um den Angriffsvektor zu entschärfen. Hier bin ich ad-hoc etwas unsicher ob der Folgen, denn im Supportbeitrag hier schreibt Microsoft:
Internet Protocol version 6 (IPv6) is a mandatory part of Windows Vista and Windows Server 2008 and newer versions. We do not recommend that you disable IPv6 or its components. If you do, some Windows components may not function. We recommend using Prefer IPv4 over IPv6 in prefix policies instead of disabling IPV6.
Oder in ganz kurz: IPv6 wird ab Windows Vista bzw. den Server-Varianten gebraucht. Bei abgeschaltetem IPv6 ist mit Fehlfunktionen zu rechnen. Muss ich so im Raum stehen lassen.
An dieser Stelle noch einige weitere Hinweise zu dieser Thematik. Es gibt Administratoren, die messerscharf geschlossen haben “gut, dann deaktiviere ich IPv6 in der Firewall, und Ruhe ist”. In einem Tweet auf X antwortet der Entdecker der Schwachstelle auf eine entsprechende Frage, dass Fehler ausgelöst wird, bevor die Firewall das Paket filtert. Das ist also schon mal nichts.
Hier im Blog gibt es diese Diskussion zur Abschaltung von IPv6, wo jemand fragt, ob das Entfernen der Markierung des Kontrollkästchens für IPv6 bei der Protokollbindung der Netzwerkkarte reicht. Die Kommentarlage ist so, dass dies wohl nicht ausreichend sein soll. Um den IPv6-Stack abzuschalten, lässt sich im Registrierungsschlüsse:
HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters
der DWORD-Wert DisabledComponents auf den Wert REG_DWORD 0x000000ff (255) setzen, um IPv6 in Windows zu deaktivieren. Alternativ kann man die Protokollbindung für IPv6 per Gruppenrichtlinie deaktivieren. Mark Heitbrink hat auf gruppenrichtlinien.de diesen Beitrag mit ausführlichen Erklärungen zum Thema veröffentlicht. Vielleicht hilft es etwas weiter.
Ähnliche Artikel:
Microsoft Security Update Summary (9. Juli 2024)
Patchday: Windows 10/Server-Updates (13. August 2024)
Windows Server 2019/Windows 10 Enterprise 2019 LTSC: Performance-Probleme mit Update KB5041578