La Fibre
Télécom => Réseau => 
Attaques informatiques => Discussion démarrée par: vivien le 17 août 2024 à 08:43:31
-
CVE-2024-38063 : Un attaquant non authentifié peut envoyer des paquets IPv6 malveillants, spécialement conçus pour permettre l'exécution de code à distance sous Windows.
Windows Vista et successeurs serait concerné selon FRANDROID (https://www.frandroid.com/marques/microsoft/2307206_une-nouvelle-faille-critique-touche-toutes-les-versions-de-windows-depuis-vista).
(https://lafibre.info/images/ipv6/202408_cve-2024-38063_vulnerabilite_execution_de_code_a_distance_via_paquets_ipv6_malveillants.webp)
Traduction en français de l'article de Bleeping Computer (https://www.bleepingcomputer.com/news/microsoft/zero-click-windows-tcp-ip-rce-impacts-all-systems-with-ipv6-enabled-patch-now/) :
Trouvé par XiaoWei de Kunlun Lab et suivi comme CVE-2024-38063, ce bug de sécurité est causé par une faiblesse de dépassement d'entier, que les attaquants pourraient exploiter pour déclencher des débordements de tampon pouvant être utilisés pour exécuter du code arbitraire sur Windows 10, Windows 11 et Windows vulnérables. Systèmes Windows Serveur.
"Compte tenu de son préjudice, je ne divulguerai pas plus de détails à court terme", a tweeté le chercheur en sécurité, ajoutant que le blocage d'IPv6 sur le pare-feu Windows local ne bloquera pas les exploits, car la vulnérabilité est déclenchée avant d'être traitée par le pare-feu.
Comme Microsoft l'a expliqué dans son avis de mardi, des attaquants non authentifiés peuvent exploiter la faille à distance dans le cadre d'attaques de faible complexité en envoyant de manière répétée des paquets IPv6 comprenant des paquets spécialement conçus.
Microsoft a également partagé son évaluation de l'exploitabilité de cette vulnérabilité critique, en la qualifiant d'« exploitation plus probable », ce qui signifie que les acteurs malveillants pourraient créer du code d'exploitation pour « exploiter systématiquement la faille dans les attaques ».
"De plus, Microsoft est conscient de cas passés d'exploitation de ce type de vulnérabilité. Cela en ferait une cible attrayante pour les attaquants, et donc plus probable que des exploits puissent être créés", explique Redmond.
« En tant que tel, les clients qui ont examiné la mise à jour de sécurité et déterminé son applicabilité dans leur environnement devraient traiter cette question avec une plus grande priorité. »
Comme mesure d'atténuation pour ceux qui ne peuvent pas installer immédiatement les mises à jour de sécurité Windows de cette semaine, Microsoft recommande de désactiver IPv6 pour supprimer la surface d'attaque.
Cependant, sur son site d'assistance, Microsoft indique que la pile de protocoles réseau IPv6 est une « partie obligatoire de Windows Vista et Windows Server 2008 et des versions plus récentes » et ne recommande pas de désactiver IPv6 ou ses composants, car cela pourrait entraîner la défaillance de certains composants Windows.
Vulnérabilité vermifuge [ce qui signifie que tout futur logiciel malveillant exploitant cette vulnérabilité pourrait se propager d'un ordinateur vulnérable à un autre de la même manière que le logiciel malveillant WannaCry s'est propagé à travers le monde en 2017]
Dustin Childs, responsable de la sensibilisation aux menaces à l'initiative Zero Day de Trend Micro, a également qualifié le bug CVE-2024-38063 de l'une des vulnérabilités les plus graves corrigées par Microsoft lors de ce Patch Tuesday, le qualifiant de faille vermifuge.
"Le pire est probablement le bug dans TCP/IP qui permettrait à un attaquant distant non authentifié d'obtenir une exécution de code élevée simplement en envoyant des paquets IPv6 spécialement conçus à une cible affectée", a déclaré Childs.
"Cela signifie qu'il est vermifuge. Vous pouvez désactiver IPv6 pour empêcher cet exploit, mais IPv6 est activé par défaut sur à peu près tous les systèmes."
Alors que Microsoft et d'autres sociétés ont averti les utilisateurs de Windows de corriger leurs systèmes dès que possible pour bloquer les attaques potentielles utilisant les exploits CVE-2024-38063, ce n'est pas la première et ne sera probablement pas la dernière vulnérabilité Windows exploitable à l'aide de paquets IPv6.
Au cours des quatre dernières années, Microsoft a corrigé plusieurs autres problèmes IPv6, y compris deux failles TCP/IP identifiées comme CVE-2020-16898 (https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2020-16898) CVE-2020-16899 (https://msrc.microsoft.com/update-guide/en-US/advisory/CVE-2020-16899)(également appelées Ping of Death), qui peuvent être exploitées lors de l'exécution de code à distance (RCE) et du déni de service (DoS) utilisant des paquets malveillants ICMPv6 Router Advertisement.
De plus, un bug de fragmentation IPv6 (CVE-2021-24086 (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24086)) a rendu toutes les versions de Windows vulnérables aux attaques DoS, et une faille DHCPv6 (CVE-2023-28231 (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28231)) a permis d'obtenir du RCE avec un appel spécialement conçu.
Même si les attaquants ne les ont pas encore exploités dans le cadre d'attaques généralisées ciblant tous les appareils Windows compatibles IPv6, il est néanmoins conseillé aux utilisateurs d'appliquer immédiatement les mises à jour de sécurité Windows de ce mois-ci en raison de la probabilité accrue d'exploitation de CVE-2024-38063.
-
Pour que l'attaque soit possible depuis internet, il faut que le pare-feu IPv6 ne soit pas activé sur la box.
Je vous laisse regarder quel opérateur ne propose pas par défaut un pare-feu en IPv6 sur sa box :
Activation d’IPv6 et Pare-feu IPv6
(https://lafibre.info/images/ipv6/202407_arcep_barometre_ipv6_2024_28_activation_ipv6.webp)
-
Comment savoir si on a reçu le patch ou non sur un Windows 10? J'ai beau lire, je ne comprends quasiment rien aux versions de patch en fonction des versions de windows...
Leon.
-
Hé hé hé... Safe! ;-)
-
Comment savoir si on a reçu le patch ou non sur un Windows 10? J'ai beau lire, je ne comprends quasiment rien aux versions de patch en fonction des versions de windows...
Leon.
Le patch pour contrer les paquets IPv6 malveillants est intégré au Microsoft Patch Tuesday du mois d'aout, donc diffusé à partir du second mardi de chaque mois, soit le mardi 13 aout (la diffusion démarre en fin d'après-midi).
Si Windows Update ne te trouve pas de mise à jour, c'est que c'est déja en place.
-
Oui, pour les windows 10 22H2 (la dernière version de windows 10), 64 bits, c'est le 5041580.
Je l'ai bien, voir dans l'historique windows update.
-
Je dois dire que je suis un peu étonné qu'une telle attaque, simplement par des paquets réseau, soit possible, et permette d'exécuter du code arbitraire à distance.
Les autres failles du même genre, c'était plutôt du DDOS. En tant qu'abonné Free, je suis bien sûr concerné, car c'est bien cet opérateur qui n'a pas de pare-feu IPv6 par défaut, mais pas trop inquiet quand même, avec des OS à jour. Et chez Free, l'IPv6 est bien sûr le protocole de transport utilisé par défaut.
-
Les pirates vont devoir s'équiper en VPN IPv6 pour tenter d'utiliser cette faille.
-
https://www.youtube.com/watch?v=Z_QlUyYlUCg (https://www.youtube.com/watch?v=Z_QlUyYlUCg)
Le youtuber "Network Chuck" est assez connu pour ses vidéo tutoriel et explication et vulgarisation au niveau réseau et système.
Le titre de la vidéo est "IPv6 keeps getting hacked" ( IPV6 ne cesse de se faire pirater ) qui est très trompeur ( faut faire du clic malheureusement ) , la vidéo porte sur une faille de sécurité de la pile ipv6 de Windows et vers la fin les multiples vulnérabilité lié à ipv6 sous Windows
Et le conseil de la vidéo est ... de désactiver IPv6 sous Windows, qui n'est pas recommandé par Microsoft ( c'est expliqué dans la video ! )
https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/configure-ipv6-in-windows (https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/configure-ipv6-in-windows)
voici les exemples selon Microsoft des problèmes pouvant survenir si on désactive IPv6 sur un serveur Windows
Example 1: On Domain Controllers, you might run into where LDAP over UDP 389 will stop working. See How to use Portqry to troubleshoot Active Directory connectivity issues
Example 2: Exchange Server 2010, you might run into problems where Exchange will stop working. See Arguments against disabling IPv6 and Disabling IPv6 And Exchange – Going All The Way.
Example 3: Failover Clusters See What is a Microsoft Failover Cluster Virtual Adapter anyway? and Failover Clustering and IPv6 in Windows Server 2012 R2.
ça parle aussi du saint-NAT qui nous sauverait tous d'une attaque directe alors que ça n'a pas été pensé pour ça ( le Firewall l'est )
du fait que ipv6 serait nouveau alors que la RFC date de 1995 ! le fait de générer les IP basé sur les adresses MAC alors que actuellement c'est aléatoire avec les privacy extensions.
Bref c'est un peu dommage que IPv6 soit discrédité ainsi.
-
Ou comment un Youtubeur se crédibilise auprès d'une partie non négligeable des "visionneurs"...
On part d'un truc accrocheur, et on brode, en partant de quelques principes à côté des pompes:
A) La faille ne sera jamais comblée sur Ouindauze
B) Les adresses IPV6 sont toutes facilement "scannables" (juste quelques "poignées" par préfixe?!?)
C) Les adresses IPV6 attribuées sont figées une fois pour toutes - Pas de bol!
D) Il n'existe pas de Firewall IPV6C - Ah bon?
Et je ne suis qu'un "touriste", à des lieues de la "connaissance" IPV6. Donc je ne suis ni strict, ni exhaustif!...
Cela fait plusieurs fois que ce genre de "Tontubeur" gonfle pas mal... Un entubeur de plus?...
-
Merde alors, l'IPv6 n'est pas safe. Et puis c'est vieux ce truc, vite passons à l'IPv7 !
Voilà je viens de nous faire gagner 20 pages de blabla. C'est gratuit.
-
Comme l'indique Vivien, il faut que le pare-feu de la BOX soit désactivé, or ce n'est pas le cas dans les BOX chez SFR.
-
Pour moi, c'est Free qui n'a pas de pare-feu activé en IPv6.
Les autres c'est activé.
-
Pour moi, c'est Free qui n'a pas de pare-feu activé en IPv6.
Les autres c'est activé.
Toutes les box Free qui sont passées entre mes mains ont vu systématiquement leur firewall IPV6 d'activé manu militari (et il ny en n'a pas qu'une!)!
Comme d'habitude chez Free, ce genre d'option n'est pas activée par défaut... Regrettable! Choix fait par fainéantise ou négligence? Allez savoir pourquoi?
[HS]
Cela me rappelle que l'IPV6 n'est pas activé par défaut sur les mobiles, mais là, il y avait apparemment une raison inavouée: L'infra n'était pas prête du tout! M'enfin, maintenant, cela devrait être OK, non?
[/HS]
-
Non, pas par fainéantise.
Le pare-feu IPv6 n'est pas configurable, si tu l'actives, tout est bloqué en entrant et tu ne peux pas créer de règles pour activer tel ou tel service sur la machine de ton choix.
Par exemple, j'ai un serveur chez moi, et si je veux taper dessus en IPv6, je dois absolument laisser le pare-feu en off.
C'est une demande qui existe depuis des lustres, mais il n'y a toujours rien de prévu.
-
Non, pas par fainéantise.
Le pare-feu IPv6 n'est pas configurable, si tu l'actives, tout est bloqué en entrant et tu ne peux pas créer de règles pour activer tel ou tel service sur la machine de ton choix.
Par exemple, j'ai un serveur chez moi, et si je veux taper dessus en IPv6, je dois absolument laisser le pare-feu en off.
C'est une demande qui existe depuis des lustres, mais il n'y a toujours rien de prévu.
Donc, on dira que c'est une fainéantise de moyens!
La "clientèle" désireuse de pouvoir ouvrir tel ou tel port en IPV6 ne serait pas suffisamment "intéressante" pour que les moyens soient mis dans le développement nécessaire, en quelque sorte...
Mais rien n'empêcherait, à la première mise en servie d'une Freebox, d'activer par défaut ce pare-feu IPV6, ce qui correspondrait à (je pense?) 95% des cas d'abonnés, non? Sur les box passées entre mes mains, pas vu ce pare-feu IPV6 activé par défaut!
Celui qui désire que sa ou ses bécanes soient "visibles" depuis le net sait pertinemment où il faut aller taper...
-
Cela me rappelle que l'IPV6 n'est pas activé par défaut sur les mobiles, mais là, il y avait apparemment une raison inavouée: L'infra n'était pas prête du tout! M'enfin, maintenant, cela devrait être OK, non?
J'ai l'impression qu'ils y travaillent, mais ca leur prend du temps... on se demande pourquoi, d'ailleurs.
-
Probable que l'héritage d'un certain RA pose problème à liquider... :-X
-
Les autres c'est activé.
Et donc, pas de problème avec l'IPv6. Ou alors, je n'ai pas tout compris de ce sujet.
-
Et donc, pas de problème avec l'IPv6. Ou alors, je n'ai pas tout compris de ce sujet.
ben firewall ou non il n'y a pas vraiment de "probleme" puisque la faille est corrigée depuis 3 semaines
-
ben firewall ou non il n'y a pas vraiment de "probleme" puisque la faille est corrigée depuis 3 semaines
Je ne parlais pas du patch windows, mais bien d'un faux problème IPv6 puisque le pare-feu dans la Box nous empêche toute intrusion non désirée.
-
Le bug windows en soi est tout de même plutôt grave (RCE sans interaction de l'utilisateur...).
Le firewall de la box aide, certes, mais il ne protège ni des attaques à l'intérieur du LAN, ni des attaques depuis la machine elle-même. La solution est de patcher au plus vite les machines si ce n'est déjà fait.