L’avevamo adocchiata nei giorni scorsi analizzando l’elenco degli aggiornamenti di sicurezza rilasciati da Microsoft ad agosto 2024. E adesso la falla contraddistinta con l’identificativo CVE-2024-38063 si annuncia come una delle più gravi di sempre. Gli aggiornamenti correttivi distribuiti da Microsoft a ridosso di ferragosto diventano quindi patch di emergenza da installare subito.
Come avevamo già evidenziato, infatti, i criminali informatici possono in questo caso (in assenza degli aggiornamenti Microsoft) inviare una serie di pacchetti IPv6 appositamente congegnati per innescare un’aggressione di tipo integer overflow. Il risultato è che, senza alcun tipo di autenticazione, i malintenzionati possono eseguire codice da remoto in modo del tutto arbitrario sulle macchine vulnerabili. L’attacco buffer overflow, infatti, va a buon fine su tutti i sistemi Windows 10, Windows 11 e Windows Server in grado di gestire traffico dati IPv6.
Perché la patch di emergenza per la vulnerabilità nell’implementazione Windows di TCP/IP va installata subito
TCP/IP (Transmission Control Protocol/Internet Protocol) è una suite di protocolli di comunicazione utilizzata per collegare i dispositivi in rete e permettere loro di scambiare dati su Internet. il fondamento dell’architettura di rete su cui si basa Internet e molti altri tipi di reti.
Nata 43 anni fa, la suite TCP/IP garantisce che i dati siano consegnati in modo corretto e completo, gestendo il controllo di flusso, la correzione degli errori e la gestione della congestione (TCP). Inoltre, integra il protocollo responsabile dell’indirizzamento e dell’instradamento dei pacchetti di dati attraverso la rete (IP).
IPv6 (Internet Protocol Version 6) è la versione più recente del protocollo IP e fa parte della suite di protocolli TCP/IP. È stato sviluppato per sostituire IPv4, la versione precedente, a causa dell’esaurimento degli indirizzi IP disponibili in IPv4.
Ogni sistema operativo, implementa la suite TCP/IP a basso livello al fine di gestire tutte le operazioni di rete. Quando emergono bug di sicurezza come quello scoperto in Windows, tuttavia, si affacciano sulla scena problemi davvero rilevanti.
Falla IPv6 in Windows: il firewall non offre alcuna protezione
L’autore della scoperta, Xiao Wei, sottolinea di aver segnalato il problema di sicurezza a Microsoft già diversi mesi fa. E soltanto oggi gli utenti business e quelli privati hanno a disposizione un aggiornamento correttivo.
Il ricercatore aggiunge inoltre che il blocco delle comunicazioni IPv6 a livello del firewall di Windows non offre alcuna difesa. La vulnerabilità in questione, infatti, è attivata prima di essere elaborata dal firewall. Di conseguenza, un aggressore che la sfruttasse da remoto può mettere a segno un attacco zero-click (funzionante senza alcun intervento da parte dell’utente) eseguendo codice arbitrario sul sistema della vittima.
“Considerata la pericolosità della vulnerabilità, non rivelerò ulteriori dettagli nel breve termine“, ha aggiunto Xiao Wei richiamando ancora una volta l’attenzione su una problematica che, verosimilmente, farà presto sentire i suoi effetti.
D’altra parte, Microsoft stessa evidenzia che la falla CVE-2024-38063 è facile da sfruttare e che gli aggressori sono al lavoro per sfruttarla nel breve termine. Da qui la necessità di procedere con l’installazione tempestiva delle patch.
Quali sono i sistemi interessati dalla vulnerabilità di sicurezza
Come accennato in precedenza, tutti i sistemi Windows sono potenzialmente interessati dalla vulnerabilità che affligge l’implementazione della suite TCP/IP e di IPv6. Il protocollo IPv6 è infatti abilitato per default in Windows.
Per verificare su quali interfacce IPv6 risulta in uso, suggeriamo di premere Windows+X
quindi scegliere Windows PowerShell (amministratore) o Terminale (Admin), a seconda della versione di Windows in uso. A questo punto si può digitare quanto segue:
Get-NetAdapterBinding -ComponentID ms_tcpip6
L’indicazione True nella colonna Enabled, suggerisce per quali interfacce di rete locali IPv6 risulta abilitato. Per disattivarlo, sui sistemi in cui non si potesse installare ancora la patch di emergenza Microsoft, si può premere Windows+R
, digitare ncpa.cpl
, cliccare con il tasto destro su Proprietà nelle varie interfacce quindi disattivare la casella Protocollo Internet versione 6 (TCP/IPv6).
Attenzione però che alcuni provider di telecomunicazioni (soprattutto quelli che hanno avviato le loro attività in tempi relativamente recenti) supportano esclusivamente lo scambio di dati su rete IPv6: utilizzate il test Verifica la tua connettività IPv6. Gli utenti di quegli operatori italiani che dispongono di ampi blocchi di indirizzi IPv4 e che non supportano ancora IPv6 (“Sembra che tu possa navigare in Internet solo tramite IPv4. Non sarai in grado di raggiungere siti esclusivamente IPv6” nel test precedente), paradossalmente dovrebbero risultare maggiormente al sicuro rispetto alla falla CVE-2024-38063. A meno di aggressioni mirate che sfruttino la combinazione di altre vulnerabilità (ad esempio per realizzare in ambito locale quello che di fatto è un attacco che ha origine a distanza).
IPv6 e Windows: vulnerabilità wormable
Una vulnerabilità wormable è un bug di sicurezza in un software o in un sistema operativo che può essere sfruttato da un worm per propagarsi automaticamente da un computer all’altro senza richiedere alcuna interazione umana.
Queste lacune di sicurezza hanno storicamente rappresentato un grave rischio per gli utenti Windows, consentendo la diffusione automatica di malware in modalità zero-click. EternalBlue è una vulnerabilità wormable scoperta nel protocollo SMBv1 (Server Message Block) di Windows. La vulnerabilità è stata sfruttata dal ransomware WannaCry nel 2017, permettendo al malware di diffondersi rapidamente su vasta scala, infettando centinaia di migliaia di sistemi in tutto il mondo.
BlueKeep è una vulnerabilità wormable nel servizio Remote Desktop Protocol (RDP) di Windows. Scoperta nel 2019, questa vulnerabilità permetteva a un attaccante non autenticato di eseguire codice arbitrario su un sistema vulnerabile semplicemente inviando richieste RDP appositamente create. PrintNightmare è una vulnerabilità scoperta nel servizio Windows Print Spooler, che poteva essere sfruttata per eseguire codice remoto con privilegi elevati su un sistema vulnerabile.
Ancora prima, i worm Blaster e Sasser (2003-2004) sfruttavano problemi dei servizi RPC (Remote Procedure Call) e LSASS (Local Security Authority Subsystem Service) per eseguire codice dannoso (sfruttando il fatto che molti sistemi erano all’epoca collegati direttamente alla rete Internet, senza o con pochi filtri).
In arrivo un’ondata di attacchi automatizzati
La storia è destinata a ripetersi. Secondo gli esperti Trend Micro (Zero Day Initiative), CVE-2024-38063 è una delle vulnerabilità più gravi risolte da Microsoft. I ricercatori hanno etichettato il problema come wormable.
“Il problema peggiore è il bug nell’implementazione dello stack TCP/IP che consentirebbe a un aggressore remoto e non autenticato di ottenere l’esecuzione di codice semplicemente inviando pacchetti IPv6 appositamente creati a un target interessato“, ha dichiarato Dustin Childs, uno dei responsabili Threat Awareness della Zero Day Initiative. “Ciò significa che la problematica è wormable. È possibile disattivare IPv6 per prevenire questo exploit, ma IPv6 è abilitato di default su quasi tutto“.
Sebbene Microsoft e altre aziende abbiano avvisato gli utenti Windows di applicare le patch ai propri sistemi il prima possibile per bloccare potenziali attacchi che utilizzano exploit CVE-2024-38063, questa non è la prima e probabilmente non sarà l’ultima vulnerabilità di Windows sfruttabile tramite l’invio di pacchetti IPv6.
Purtroppo, l’azienda ad oggi non mette a disposizione patch specifiche per risolvere CVE-2024-38063 (tranne che, curiosamente, per Windows Server 2008, sistema operativo non più supportato addirittura da metà gennaio 2020). Gli utenti devono quindi installare gli aggiornamenti cumulativi del mese di agosto 2024, molto più corposi. È tutto chiarito nella sezione Security Updates (colonna Download) di questo documento.
Credit immagine in apertura: Copilot Designer