US Cyber Command avertit les utilisateurs de Microsoft du bogue TCP / IP ‘Bad Neighbor’

Le correctif de la vulnérabilité exploitable CVE-2020-16898 est disponible. Microsoft a corrigé cette vulnérabilité et l’a publié mardi ce mois-ci.

Le bogue CVE-2020-16898, également connu sous le nom de “ mauvais voisin ”, est une vulnérabilité d’exécution de code à distance dans Windows TCP / IP stalk qui peut être utilisée pour déclencher une attaque par déni de service (DoS) qui conduit à un écran bleu mort (BSOD).

Avertissement sur ce danger possible pour les utilisateurs de Microsoft, a déclaré US Cyber ​​Command, dans un tweet plus tôt dans la journée,

«Mettez à jour votre logiciel Microsoft maintenant afin que votre système ne soit pas exploité: CVE-2020-16898 en particulier devrait être corrigé ou atténué immédiatement, car les systèmes vulnérables pourraient être compromis à distance»,

Les attaquants non autorisés exploitent ladite vulnérabilité en envoyant un paquet d’annonce de routeur ICMPv6 spécialement conçu à l’ordinateur cible.

 Selon la publication de McAfee Labs, Microsoft a déjà partagé une preuve de concept (POC) avec les membres du MAPP.

«La preuve de concept partagée avec les membres du MAPP (Microsoft Active Protection Program) est à la fois extrêmement simple et parfaitement fiable», a déclaré McAfee Labs.

“Il en résulte un BSOD immédiat (Blue Screen of Death), mais plus encore, indique la probabilité d’exploitation pour ceux qui parviennent à contourner les atténuations de Windows 10 et Windows Server 2019.”

Sur la base des détails fournis, Sophos, une société de sécurité britannique a déjà été en mesure de créer un Dos PoC qui est à l’origine du BSOD sur les périphériques serveurs Windows 10 et Windows vulnérables.

Il n’est pas surprenant que les acteurs de la menace créent leurs propres exploits DoS. Bien que développer le Dos POC causant des BSODs soit raisonnablement facile, créer un exploit RCP ne l’est pas. Comme l’explique SophosLab, l’exécution de code à distance nécessite un contournement réussi des canaris de la pile et de la randomisation de la disposition de l’espace d’adressage du noyau.

«Même ainsi, la menace de déni de service à volonté avec un paquet relativement facile à fabriquer devrait suffire à elle seule à provoquer une mise à jour rapide – qui est la seule véritable solution à cette vulnérabilité», a ajouté Sophos.

 Microsoft conseille aux utilisateurs qui ne peuvent pas installer la mise à jour de désactiver l’option Serveur DNS récursif ICMPv6 (RDNSS) en exécutant la commande suivante sous Windows 1709 et supérieur:

netsh int ipv6 set int * INTERFACENUMBER * rabaseddnsconfig = désactiver

Pour réactiver ICMPv6 RDNSS après la mise à jour de sécurité:

netsh int ipv6 set int * INTERFACENUMBER * rabaseddnsconfig = activer

Cependant, il ne s’agit que d’un correctif à court terme et vous devez mettre à jour la dernière mise à jour de sécurité pour atténuer la vulnérabilité et protéger le système vulnérable.