Haavoittuvuus30/2020
Haavoittuvuus mahdollistaa haitallisten pakettien avulla mielivaltaisen koodin suorittamisen. Se on saanut CVSS-arvosanaksi 9.8/10 ja Microsoftin arvion mukaan sen hyväksikäyttöä tullaan näkemään, mikäli päivityksiä ei asenneta viipymättä.
Microsoftin lokakuun kuukausipäivityksissä 13.10. julkaistu haavoittuvuus Windowsin TCP/IP-toteutuksen ICMPv6-reitityksessä antaa hyökkääjälle mahdollisuuden suorittaa haitallisia komentoja kohteessa. Microsoft on todentanut haavaan liittyvän esimerkkikoodin. Haavoittuvuus ei ole suoraan hyödynnettävissä internetin yli, vaan koskee kohteen sisäverkkoa.
Haavoittuvuus on relevantti, vaikka IPv6-protokolla ei olisi aktiivisesti käytössä, sillä toiminnallisuutena se on oletuksena kytkettynä päälle verkkoasetuksissa. Microsoft on lisännyt haavatiedotteeseensa ohjeen, miten IPv6:n saa kytkettyä pois päältä, mikäli sitä ei tarvitse.
Esimerkkikoodi aiheuttaa välittömän järjestelmän kaatumisen, mutta myös mahdollistaa laajemman haitallisen toiminnan. Haavoittuvuuden avulla hyökkääjä voi suorittaa mielivaltaisesti haitallista koodia. Tämänkaltainen kriittinen ohjelmointivirhe voi mahdollistaa matomaisen leviämisen ympäristössä. Haavoittuvuus sai lempinimen "Bad Neighbor" eli "paha naapuri", koska se sijaitsee ICMPv6:n protokollassa, joka liittyy reitittimien NDB (Neighbor Discovery Protocol) -hallintaprotokollaan
Kohde
- Työasemat ja loppukäyttäjäsovellukset
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
Hyväksikäyttömenetelmä tiedossa
- Haavoittuvuuden havainnollistava esimerkkikoodi
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
Windows 10 versiot 1709, 1803, 1809, 1903, 1909 ja 2004
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, versiot 1903 (Server Core installation)
Windows Server, versiot 1909 (Server Core installation)
Windows Server, versiot 2004 (Server Core installation)
Tarkemmat tiedot löytyvät Microsoftin-sivuilta (Ulkoinen linkki) (ulkoinen linkki).
Mistä on kysymys?
Router Advertisement (RA) Guard -tekniikka voidaan ottaa käyttöön kytkimellä. Tekniikan avulla on mahdollista säädellä reitittien mainostukseen käytettävää pakettiliikennettä halutuilta reitittimiltä.
Hyökkääjä voi muuttaa RA:n sijaintia IPV6-paketissa käyttämällä lisäosien otsikkotietoja välttääkseen havainnointia erityisesti, jos turvallisuustyökalut eivät jäsennä (parse) koko RA-viestiä.
Yleisestikin verkon segmentointi on tärkeää ja auttaa rajoittamaan lateraalista liikennettä sisäverkossa. Päätelaitteiden eriyttäminen (host isolation) lisää myös sisäverkon turvallisuutta. Yksittäisen wifi-verkossa olevan koneen ei lähtökohtaisesti tarvitse kommunikoida viereisille saman verkon koneille. Kommunikointi suoraan päätelaiteelta toiselle päätelaiteelle tulisi lähtökohtaisesti estää.
Mitä voin tehdä?
"RA Guard" -tekniikka on dokumetoituna RFC 6105 ja RFC 7113:ssa.
RFC 6105: IPv6 Router Advertisement Guard (Ulkoinen linkki) (ulkoinen linkki)
RFC 7113: Implementation Advice for IPv6 Router Advertisement Guard (RA-Guard) (Ulkoinen linkki) (ulkoinen linkki)