{"id":299945,"date":"2024-08-16T17:47:00","date_gmt":"2024-08-16T15:47:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=299945"},"modified":"2024-08-20T12:58:12","modified_gmt":"2024-08-20T10:58:12","slug":"nachbetrachtung-windows-und-die-tcp-ip-schwachstelle-cve-2024-38063","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/08\/16\/nachbetrachtung-windows-und-die-tcp-ip-schwachstelle-cve-2024-38063\/","title":{"rendered":"Nachbetrachtung: Windows und die TCP-IP-Schwachstelle CVE-2024-38063"},"content":{"rendered":"

\"Windows\"[English<\/a>]Noch eine kleine Nachlese vom August 2024 Patchday (Blog-Leser haben angeregt<\/a>, das mal in einem separaten Beitrag aufzubereiten). Zum 13. August 2024 wurde die 0-day-Schwachstelle CVE-2024-38063 in Windows bekannt. Es handelt sich um eine Remote-Code-Execution-Schwachstelle in der TCP\/IP-Implementierung von Windows steckt. Angreifer k\u00f6nnen \u00fcber IPv6-Pakete einen Host kompromittieren und dort Code ausf\u00fchren. Weben der Bewertung mit dem CVEv3 Score 9.8 (critical, \"Exploitation More Likely\") empfiehlt Redmond Administratoren momentan IPv6 zu deaktivieren, hat aber auch Sicherheitsupdates f\u00fcr Windows bereitgestellt. Hier sollten Administratoren also reagieren.<\/p>\n

<\/p>\n

TCP-IP-Schwachstelle CVE-2024-38063<\/h2>\n

\"\"Ich hatte die 0-day-Schwachstelle CVE-2024-38063<\/a> in Windows nach einem Hinweis von Tenable kurz im Blog-Beitrag Microsoft Security Update Summary (9. Juli 2024)<\/a> aufgegriffen. Es handelt sich um eine Remote Code Execution-Schwachstelle (RCE) in der Windows TCP\/IPv6-Implementierung, verursacht durch einen Integer Underflow-Fehler. Diese RCE-Schwachstelle wurde mit einem CVEv3 Score 9.8 als \u00e4u\u00dferst kritisch und die als \"Exploitation More Likely\" eingestuft.<\/p>\n

Das Problem: Ein Angreifer kann diese Sicherheitsl\u00fccke ohne Authentifizierung und ohne Benutzeraktion remote ausnutzen, indem er wiederholt speziell gestaltete IPv6-Pakete an einen Windows Host sendet. Microsoft hat in CVE-2024-38063<\/a>\u00a0 ausgef\u00fchrt, dass nur nur IPv6-Pakete zur Ausnutzung dieser Sicherheitsl\u00fccke missbraucht werden k\u00f6nnen und empfiehlt IPv6 zu deaktivieren.<\/p>\n

Die Schwachstelle wurde von XiaoWei vom Kunlun-Labor entdeckt (Tweet auf x<\/a>) und dann an Microsoft gemeldet. Details zu dieser Schwachstelle wurden bisher nicht ver\u00f6ffentlicht. Die Kollegen von Bleeping Computer haben noch ein Statement von Dustin Childs, Head of Threat Awareness bei der Zero Day Initiative von Trend Micro, zitiert<\/a>. Dustin Childs bezeichnet die Schwachstelle als \"wormable\", ein Angreifer k\u00f6nnte also seinen Schadcode im Netzwerk auf weitere Rechner verbreiten.<\/p>\n

Proof of Concept verf\u00fcgbar<\/h2>\n

Erg\u00e4nzung: Robel Campbell, Principal Security Researcher at Blackpoint Cyber, hat auf X einen Tweet<\/a> abgesetzt, in dem er angibt, durch Lekt\u00fcre der RFCs und der Teile \u00fcber optionale Header in IPv6-Paketen einen PoC entwickeln konnte. Der Proof of Concept-Exploit (POC) verursacht einen Absturz.<\/p>\n

\"PoC<\/a><\/p>\n

Die Fehlerpr\u00fcfung sei im PoC-Fall nicht sehr detailliert. Im Wesentlichen erzeugt der Unterlauf (Integer Underflow) einen gro\u00dfen Wert, der in einer Schleife verwendet wird, die schlie\u00dflich Daten au\u00dferhalb der Grenzen schreibt und einen Absturz verursacht. Campbell kann sich vorstellen, dass dies durch Heap-Massagetechniken und die Besch\u00e4digung benachbarter Objekte im Heap f\u00fcr Angriffe eingesetzt werden kann. Der PoC ist aber quick-n-dirty, und Campbell gibt an, dass er den Absturz nur einmal ausl\u00f6sen konnte. Der Crash Dump habe ihm nicht wirklich nicht viel zur Analyse geholfen. Administratoren sollten also z\u00fcgig reagieren.<\/p>\n

Updates von Microsoft<\/h2>\n

Microsoft hat zum 13. August 2024 eine Reihe von Sicherheitsupdates f\u00fcr betroffene Windows-Systeme bereitgestellt. Nachfolgend habe ich mal die betreffenden Pakete herausgezogen, die unter CVE-2024-38063<\/a> gelistet werden.<\/p>\n