Pages: [1] 2   En bas

Auteur Sujet: Faille dans l'implémentation d'IPv6 sous Windows: possibilité d'exécuter du code  (Lu 1596 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 932
    • Twitter LaFibre.info
Faille dans l'implémentation d'IPv6 sous Windows: possibilité d'exécuter du code
« le: 17 août 2024 à 08:43:31 »
CVE-2024-38063 : Un attaquant non authentifié peut envoyer des paquets IPv6 malveillants, spécialement conçus pour permettre l'exécution de code à distance sous Windows.

Windows Vista et successeurs serait concerné selon FRANDROID.



Traduction en français de l'article de Bleeping Computer :

Trouvé par XiaoWei de Kunlun Lab et suivi comme CVE-2024-38063, ce bug de sécurité est causé par une faiblesse de dépassement d'entier, que les attaquants pourraient exploiter pour déclencher des débordements de tampon pouvant être utilisés pour exécuter du code arbitraire sur Windows 10, Windows 11 et Windows vulnérables. Systèmes Windows Serveur.

"Compte tenu de son préjudice, je ne divulguerai pas plus de détails à court terme", a tweeté le chercheur en sécurité, ajoutant que le blocage d'IPv6 sur le pare-feu Windows local ne bloquera pas les exploits, car la vulnérabilité est déclenchée avant d'être traitée par le pare-feu.

Comme Microsoft l'a expliqué dans son avis de mardi, des attaquants non authentifiés peuvent exploiter la faille à distance dans le cadre d'attaques de faible complexité en envoyant de manière répétée des paquets IPv6 comprenant des paquets spécialement conçus.

Microsoft a également partagé son évaluation de l'exploitabilité de cette vulnérabilité critique, en la qualifiant d'« exploitation plus probable », ce qui signifie que les acteurs malveillants pourraient créer du code d'exploitation pour « exploiter systématiquement la faille dans les attaques ».

"De plus, Microsoft est conscient de cas passés d'exploitation de ce type de vulnérabilité. Cela en ferait une cible attrayante pour les attaquants, et donc plus probable que des exploits puissent être créés", explique Redmond.

« En tant que tel, les clients qui ont examiné la mise à jour de sécurité et déterminé son applicabilité dans leur environnement devraient traiter cette question avec une plus grande priorité. »

Comme mesure d'atténuation pour ceux qui ne peuvent pas installer immédiatement les mises à jour de sécurité Windows de cette semaine, Microsoft recommande de désactiver IPv6 pour supprimer la surface d'attaque.

Cependant, sur son site d'assistance, Microsoft indique que la pile de protocoles réseau IPv6 est une « partie obligatoire de Windows Vista et Windows Server 2008 et des versions plus récentes » et ne recommande pas de désactiver IPv6 ou ses composants, car cela pourrait entraîner la défaillance de certains composants Windows.

Vulnérabilité vermifuge [ce qui signifie que tout futur logiciel malveillant exploitant cette vulnérabilité pourrait se propager d'un ordinateur vulnérable à un autre de la même manière que le logiciel malveillant WannaCry s'est propagé à travers le monde en 2017]

Dustin Childs, responsable de la sensibilisation aux menaces à l'initiative Zero Day de Trend Micro, a également qualifié le bug CVE-2024-38063 de l'une des vulnérabilités les plus graves corrigées par Microsoft lors de ce Patch Tuesday, le qualifiant de faille vermifuge.

"Le pire est probablement le bug dans TCP/IP qui permettrait à un attaquant distant non authentifié d'obtenir une exécution de code élevée simplement en envoyant des paquets IPv6 spécialement conçus à une cible affectée", a déclaré Childs.

"Cela signifie qu'il est vermifuge. Vous pouvez désactiver IPv6 pour empêcher cet exploit, mais IPv6 est activé par défaut sur à peu près tous les systèmes."

Alors que Microsoft et d'autres sociétés ont averti les utilisateurs de Windows de corriger leurs systèmes dès que possible pour bloquer les attaques potentielles utilisant les exploits CVE-2024-38063, ce n'est pas la première et ne sera probablement pas la dernière vulnérabilité Windows exploitable à l'aide de paquets IPv6.

Au cours des quatre dernières années, Microsoft a corrigé plusieurs autres problèmes IPv6, y compris deux failles TCP/IP identifiées comme CVE-2020-16898 CVE-2020-16899(également appelées Ping of Death), qui peuvent être exploitées lors de l'exécution de code à distance (RCE) et du déni de service (DoS) utilisant des paquets malveillants ICMPv6 Router Advertisement.

De plus, un bug de fragmentation IPv6 (CVE-2021-24086) a rendu toutes les versions de Windows vulnérables aux attaques DoS, et une faille DHCPv6 (CVE-2023-28231) a permis d'obtenir du RCE avec un appel spécialement conçu.

Même si les attaquants ne les ont pas encore exploités dans le cadre d'attaques généralisées ciblant tous les appareils Windows compatibles IPv6, il est néanmoins conseillé aux utilisateurs d'appliquer immédiatement les mises à jour de sécurité Windows de ce mois-ci en raison de la probabilité accrue d'exploitation de CVE-2024-38063.
IP archivée

vivien

  • Administrateur
  • *
  • Messages: 47 932
    • Twitter LaFibre.info
Faille dans l'implémentation d'IPv6 sous Windows: possibilité d'exécuter du code
« Réponse #1 le: 17 août 2024 à 08:51:31 »
Pour que l'attaque soit possible depuis internet, il faut que le pare-feu IPv6 ne soit pas activé sur la box.

Je vous laisse regarder quel opérateur ne propose pas par défaut un pare-feu en IPv6 sur sa box :

Citation de: vivien le 05 juillet 2024 à 09:39:49
Activation d’IPv6 et Pare-feu IPv6


IP archivée

Leon

  • Client SFR sur réseau Numericable
  • Modérateur
  • *
  • Messages: 6 183
Faille dans l'implémentation d'IPv6 sous Windows: possibilité d'exécuter du code
« Réponse #2 le: 17 août 2024 à 11:21:22 »
Comment savoir si on a reçu le patch ou non sur un Windows 10? J'ai beau lire, je ne comprends quasiment rien aux versions de patch en fonction des versions de windows...

Leon.
IP archivée

Steph

  • Abonné K-Net
  • *
  • Messages: 7 983
  • La Balme de Sillingy 74
    • Uptime K-net
Faille dans l'implémentation d'IPv6 sous Windows: possibilité d'exécuter du code
« Réponse #3 le: 17 août 2024 à 11:39:38 »
Hé hé hé... Safe! ;-)
IP archivée

vivien

  • Administrateur
  • *
  • Messages: 47 932
    • Twitter LaFibre.info
Faille dans l'implémentation d'IPv6 sous Windows: possibilité d'exécuter du code
« Réponse #4 le: 17 août 2024 à 14:19:16 »
Citation de: Leon le 17 août 2024 à 11:21:22
Comment savoir si on a reçu le patch ou non sur un Windows 10? J'ai beau lire, je ne comprends quasiment rien aux versions de patch en fonction des versions de windows...

Leon.

Le patch pour contrer les paquets IPv6 malveillants est intégré au Microsoft Patch Tuesday du mois d'aout, donc diffusé à partir du second mardi de chaque mois, soit le mardi 13 aout (la diffusion démarre en fin d'après-midi).

Si Windows Update ne te trouve pas de mise à jour, c'est que c'est déja en place.
IP archivée

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 882
  • Delta S 10G-EPON sur Les Ulis (91)
Faille dans l'implémentation d'IPv6 sous Windows: possibilité d'exécuter du code
« Réponse #5 le: 17 août 2024 à 15:31:57 »
Oui, pour les windows 10 22H2 (la dernière version de windows 10), 64 bits, c'est le 5041580.

Je l'ai bien, voir dans l'historique windows update.
IP archivée

alain_p

  • Abonné Free fibre
  • *
  • Messages: 16 882
  • Delta S 10G-EPON sur Les Ulis (91)
Faille dans l'implémentation d'IPv6 sous Windows: possibilité d'exécuter du code
« Réponse #6 le: 17 août 2024 à 15:36:57 »
Je dois dire que je suis un peu étonné qu'une telle attaque, simplement par des paquets réseau, soit possible, et permette d'exécuter du code arbitraire à distance.

Les autres failles du même genre, c'était plutôt du DDOS. En tant qu'abonné Free, je suis bien sûr concerné, car c'est bien cet opérateur qui n'a pas de pare-feu IPv6 par défaut, mais pas trop inquiet quand même, avec des OS à jour. Et chez Free, l'IPv6 est bien sûr le protocole de transport utilisé par défaut.
IP archivée

vivien

  • Administrateur
  • *
  • Messages: 47 932
    • Twitter LaFibre.info
Faille dans l'implémentation d'IPv6 sous Windows: possibilité d'exécuter du code
« Réponse #7 le: 17 août 2024 à 17:09:01 »
Les pirates vont devoir s'équiper en VPN IPv6 pour tenter d'utiliser cette faille.
IP archivée

LeNuageux

  • Abonné Free fibre
  • *
  • Messages: 161
  • Mulhouse (68)
Une faille sur IPv6 sous Windows mais le titre de la video est tout autre
« Réponse #8 le: 31 août 2024 à 11:59:12 »


Le youtuber "Network Chuck" est assez connu pour ses vidéo tutoriel et explication et vulgarisation au niveau réseau et système.


Le titre de la vidéo est "IPv6 keeps getting hacked" ( IPV6 ne cesse de se faire pirater ) qui est très trompeur ( faut faire du clic malheureusement ) , la vidéo porte sur une faille de sécurité de la pile ipv6 de Windows et vers la fin les multiples vulnérabilité lié à ipv6 sous Windows

Et le conseil de la vidéo est ... de désactiver IPv6 sous Windows, qui n'est pas recommandé par Microsoft ( c'est expliqué dans la video ! )

https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/configure-ipv6-in-windows
voici les exemples selon Microsoft des problèmes pouvant survenir si on désactive IPv6 sur un serveur Windows
Citer
Example 1: On Domain Controllers, you might run into where LDAP over UDP 389 will stop working. See How to use Portqry to troubleshoot Active Directory connectivity issues
Example 2: Exchange Server 2010, you might run into problems where Exchange will stop working. See Arguments against disabling IPv6 and Disabling IPv6 And Exchange – Going All The Way.
Example 3: Failover Clusters See What is a Microsoft Failover Cluster Virtual Adapter anyway? and Failover Clustering and IPv6 in Windows Server 2012 R2.


ça parle aussi du saint-NAT qui nous sauverait tous d'une attaque directe alors que ça n'a pas été pensé pour ça ( le Firewall l'est )
du fait que ipv6 serait nouveau alors que la RFC date de 1995 ! le fait de générer les IP basé sur les adresses MAC alors que actuellement c'est aléatoire avec les privacy extensions.

Bref c'est un peu dommage que IPv6 soit discrédité ainsi.
IP archivée

fansat70

  • Abonné Free fibre
  • *
  • Messages: 5 231
  • 70 - St Loup-sur-Semouse
    • Carte ZANRO/ZASRO-PM Haute Saône
Une faille sur IPv6 sous Windows mais le titre de la video est tout autre
« Réponse #9 le: 31 août 2024 à 20:45:44 »
Ou comment un Youtubeur se crédibilise auprès d'une partie non négligeable des "visionneurs"...
On part d'un truc accrocheur, et on brode, en partant de quelques principes à côté des pompes:
A) La faille ne sera jamais comblée sur Ouindauze
B) Les adresses IPV6 sont toutes facilement "scannables" (juste quelques "poignées" par préfixe?!?)
C) Les adresses IPV6 attribuées sont figées une fois pour toutes - Pas de bol!
D) Il n'existe pas de Firewall IPV6C - Ah bon?
Et je ne suis qu'un "touriste", à des lieues de la "connaissance" IPV6. Donc je ne suis ni strict, ni exhaustif!...
Cela fait plusieurs fois que ce genre de "Tontubeur" gonfle pas mal... Un entubeur de plus?...
IP archivée

PeGGaaSuSS

  • Abonné Free fibre
  • *
  • Messages: 564
  • Saint-Ouen (93) - Paris (75)
Faille dans l'implémentation d'IPv6 sous Windows: possibilité d'exécuter du code
« Réponse #10 le: 01 septembre 2024 à 20:45:24 »
Merde alors, l'IPv6 n'est pas safe. Et puis c'est vieux ce truc, vite passons à l'IPv7 !
Voilà je viens de nous faire gagner 20 pages de blabla. C'est gratuit.
IP archivée

artemus24

  • Abonné SFR fibre FttH
  • *
  • Messages: 1 394
  • Montignac Lascaux (24)
Faille dans l'implémentation d'IPv6 sous Windows: possibilité d'exécuter du code
« Réponse #11 le: 01 septembre 2024 à 21:10:37 »
Comme l'indique Vivien, il faut que le pare-feu de la BOX soit désactivé, or ce n'est pas le cas dans les BOX chez SFR.
IP archivée
Pages: [1] 2   En haut