US Cyber Command warnt Microsoft-Benutzer vor dem TCP / IP-Fehler “Bad Neighbor”
Der Patch für die ausnutzbare Sicherheitsanfälligkeit CVE-2020-16898 ist verfügbar. Microsoft hat diese Sicherheitsanfälligkeit behoben und am Dienstag dieses Monats veröffentlicht.
Der CVE-2020-16898-Fehler, auch als “Bad Neighbour” bekannt, ist eine Sicherheitsanfälligkeit bezüglich Remotecodeausführung in Windows TCP / IP-Stalk, die verwendet werden kann, um einen Denial-of-Service-Angriff (DoS) auszulösen, der zu einem Bluescreen-Tod (BSOD) führt.
US Cyber Command warnte vor dieser möglichen Gefahr für Microsoft-Benutzer und sagte heute in einem Tweet:
“Aktualisieren Sie Ihre Microsoft-Software jetzt, damit Ihr System nicht ausgenutzt wird. Insbesondere CVE-2020-16898 sollte sofort gepatcht oder entschärft werden, da anfällige Systeme aus der Ferne gefährdet werden können.”
Die nicht autorisierten Angreifer nutzen diese Sicherheitsanfälligkeit aus, indem sie ein gestaltetes ICMPv6-Router-Ankündigungspaket an den Zielcomputer senden.
Laut dem Beitrag von McAfee Labs hat Microsoft bereits einen Proof-of-Concept (POC) mit MAPP-Mitgliedern geteilt.
“Der Proof-of-Concept, der mit MAPP-Mitgliedern (Microsoft Active Protection Program) geteilt wird, ist äußerst einfach und absolut zuverlässig”, sagte McAfee Labs.
“Es führt zu einem sofortigen BSOD (Blue Screen of Death), zeigt jedoch mehr die Wahrscheinlichkeit einer Ausbeutung für diejenigen an, die es schaffen, die Schadensbegrenzungen von Windows 10 und Windows Server 2019 zu umgehen.”
Basierend auf den bereitgestellten Details konnte Sophos, eine britische Sicherheitsfirma, bereits einen Dos PoC erstellen, der den BSOD auf den anfälligen Windows 10- und Windows-Servergeräten verursacht.
Es ist nicht überraschend, ob die Bedrohungsakteure ihre eigenen DoS-Exploits erstellen. Während die Entwicklung des Dos POC, das BSODs verursacht, relativ einfach wäre, ist das Erstellen eines RCP-Exploits nicht möglich. Wie SophosLab erklärt, erfordert die Remotecodeausführung eine erfolgreiche Umgehung der Stapelkanarien und der Randomisierung des Kernel-Adressraumlayouts.
“Trotzdem sollte die Gefahr eines Denial-of-Service nach Belieben mit einem relativ einfach zu erstellenden Paket ausreichen, um ein schnelles Patchen zu veranlassen – dies ist die einzige echte Lösung für diese Sicherheitsanfälligkeit”, fügte Sophos hinzu.
Microsoft empfiehlt den Benutzern, die das Update nicht installieren können, die Option ICNSv6 Recursive DNS Server (RDNSS) zu deaktivieren, indem der folgende Befehl unter Windows 1709 und höher ausgeführt wird:
netsh int ipv6 set int * INTERFACENUMBER * rabaseddnsconfig = deaktivieren
So aktivieren Sie das ICMPv6-RDNSS nach dem Sicherheitsupdate wieder:
netsh int ipv6 set int * INTERFACENUMBER * rabaseddnsconfig = enable
Dies ist jedoch nur eine kurzfristige Lösung. Sie sollten auf das neueste Sicherheitsupdate aktualisieren, um die Sicherheitsanfälligkeit zu verringern und das anfällige System zu schützen.