US Cyber Command avvisa gli utenti Microsoft del bug TCP / IP “Bad Neighbor”
È disponibile la patch per la vulnerabilità sfruttabile CVE-2020-16898. Microsoft ha risolto questa vulnerabilità e l’ha rilasciata martedì questo mese.
Il bug CVE-2020-16898, noto anche come “Bad Neighbor”, è una vulnerabilità legata all’esecuzione di codice in modalità remota nello stalk TCP / IP di Windows che può essere utilizzato per attivare un attacco DoS (Denial of Service) che porta a un Blue Screen Death (BSOD).
Avvertimento su questo possibile pericolo per gli utenti Microsoft, ha detto il Cyber Command degli Stati Uniti, in un tweet di oggi,
“Aggiorna subito il tuo software Microsoft in modo che il tuo sistema non venga sfruttato: CVE-2020-16898 in particolare dovrebbe essere corretto o mitigato immediatamente, poiché i sistemi vulnerabili potrebbero essere compromessi da remoto”
Gli aggressori non autorizzati sfruttano la suddetta vulnerabilità inviando un pacchetto di annunci router ICMPv6 predisposto al computer di destinazione.
Secondo il post di McAfee Labs, Microsoft ha già condiviso un proof-of-concept (POC) con i membri di MAPP.
“Il proof-of-concept condiviso con i membri del MAPP (Microsoft Active Protection Program) è estremamente semplice e perfettamente affidabile”, ha affermato McAfee Labs.
“Il risultato è un BSOD immediato (Blue Screen of Death), ma soprattutto indica la probabilità di sfruttamento per coloro che riescono a bypassare le mitigazioni di Windows 10 e Windows Server 2019”.
Sulla base dei dettagli forniti, Sophos, un’azienda di sicurezza britannica è già stata in grado di creare un Dos PoC che sta causando il BSOD sui dispositivi Windows 10 e server Windows vulnerabili.
Non sorprende se gli attori della minaccia creeranno i propri exploit DoS. Mentre sviluppare il Dos POC che causa BSOD sarebbe ragionevolmente facile, la creazione di un exploit RCP non lo è. Come spiega SophosLab, l’esecuzione del codice in modalità remota richiede il bypass riuscito dei canarini dello stack e la randomizzazione del layout dello spazio degli indirizzi del kernel.
“Anche così, la minaccia di negazione del servizio a piacimento con un pacchetto di creazione relativamente semplice dovrebbe essere sufficiente di per sé a richiedere un rapido patching, che è l’unica vera soluzione per questa vulnerabilità”, ha aggiunto Sophos.
Microsoft consiglia agli utenti che non possono installare l’aggiornamento di disabilitare l’opzione ICMPv6 Recursive DNS Server (RDNSS) eseguendo il seguente comando su Windows 1709 e versioni successive:
netsh int ipv6 set int * INTERFACENUMBER * rabaseddnsconfig = disabilita
Per riattivare l’RDNSS ICMPv6 dopo l’aggiornamento della sicurezza:
netsh int ipv6 impostato int * INTERFACENUMBER * rabaseddnsconfig = abilita
Tuttavia, questa è solo una soluzione a breve termine e dovresti eseguire l’aggiornamento all’ultimo aggiornamento di sicurezza per mitigare la vulnerabilità e proteggere il sistema vulnerabile.