US Cyber Command advierte a los usuarios de Microsoft sobre el error de TCP / IP ‘Bad Neighbor’
El parche para la vulnerabilidad explotable CVE-2020-16898 está disponible. Microsoft abordó esta vulnerabilidad y la lanzó el martes de este mes.
El error CVE-2020-16898, también conocido como ‘Bad Neighbor’ es una vulnerabilidad de ejecución remota de código en el acecho TCP / IP de Windows que se puede usar para desencadenar un ataque de denegación de servicio (DoS) que conduce a una muerte de pantalla azul (BSOD).
Advertencia sobre este posible peligro para los usuarios de Microsoft, dijo US Cyber Command, en un tweet el día de hoy,
“Actualice su software de Microsoft ahora para que su sistema no sea explotado: CVE-2020-16898 en particular debe ser parcheado o mitigado de inmediato, ya que los sistemas vulnerables podrían verse comprometidos de forma remota”.
Los atacantes no autorizados aprovechan dicha vulnerabilidad enviando un paquete de publicidad de enrutador ICMPv6 diseñado a la computadora de destino.
Según la publicación de McAfee Labs, Microsoft ya ha compartido una prueba de concepto (POC) con los miembros de MAPP.
“La prueba de concepto compartida con los miembros de MAPP (Microsoft Active Protection Program) es extremadamente simple y perfectamente confiable”, dijo McAfee Labs.
“Da como resultado un BSOD (pantalla azul de la muerte) inmediato, pero más aún, indica la probabilidad de explotación para aquellos que pueden evitar las mitigaciones de Windows 10 y Windows Server 2019”.
Según los detalles proporcionados, Sophos, una empresa de seguridad británica, ya ha podido crear un Dos PoC que está causando el BSOD en los dispositivos de servidor Windows 10 y Windows vulnerables.
No es sorprendente que los actores de amenazas creen sus propios exploits DoS. Si bien desarrollar el Dos POC que causa BSOD sería razonablemente fácil, crear un exploit RCP no lo es. Como explica SophosLab, la ejecución remota de código requiere eludir correctamente los canarios de la pila y la distribución aleatoria del espacio de direcciones del kernel.
“Aun así, la amenaza de denegación de servicio a voluntad con un paquete relativamente fácil de diseñar debería ser suficiente por sí sola para provocar un parcheo rápido, que es la única solución real para esta vulnerabilidad”, agregó Sophos.
Microsoft aconseja a los usuarios que no pueden instalar la actualización que deshabiliten la opción del servidor DNS recursivo ICMPv6 (RDNSS) ejecutando el siguiente comando en Windows 1709 y versiones posteriores:
netsh int ipv6 set int * INTERFACENUMBER * rabaseddnsconfig = deshabilitar
Para volver a habilitar ICMPv6 RDNSS después de la actualización de seguridad:
netsh int ipv6 set int * INTERFACENUMBER * rabaseddnsconfig = enable
Sin embargo, esta es solo una solución a corto plazo y debe actualizar a la última actualización de seguridad para mitigar la vulnerabilidad y proteger el sistema vulnerable.