Kritische IPv6-Lücke in Windows bitte dringend patchen!

Anhand spezieller IPv6-Pakete können Angreifer auf Windows-Systemen aus der Ferne Schadcode ausführen. Ein Exploit-Code dafür ist jetzt öffentlich verfügbar.

Am 13. August stellte Microsoft Patches für eine kritische Sicherheitslücke bereit, die es Angreifern ermöglicht, durch speziell gestaltete IPv6-Pakete aus der Ferne und ohne jegliche Nutzerinteraktion Schadcode auf diversen Windows-Systemen auszuführen. Für eben jene Schwachstelle hat ein unter dem Pseudonym Ynwarcs bekannter Sicherheitsforscher nun auf Github einen PoC-Code (Proof of Concept) veröffentlicht.

Entdecker der als CVE-2024-38063 registrierten und mit einem CVSS von 9,8 als kritisch eingestuften Sicherheitslücke ist ein dem chinesischen Unternehmen Cyber Kunlun zugehöriger Forscher namens Wei. Dieser erklärte am 14. August auf X, er werde angesichts der davon ausgehenden Gefahr vorerst keine Details zu der Schwachstelle veröffentlichen.

PoC-Veröffentlichung war abzusehen

Microsoft selbst bescheinigt CVE-2024-38063 eine geringe Angriffskomplexität und hält eine zukünftige Ausnutzung der Sicherheitslücke für wahrscheinlich. Es war also ohnehin nur eine Frage der Zeit, bis jemand anderes als Wei einen Weg finden würde, die Lücke auszunutzen. Nachdem Ynwarcs dies gelang und der zugehörige Exploit-Code nun öffentlich zur Verfügung steht, dürften auch Cyberangriffe auf Basis der Schwachstelle nicht mehr lange auf sich warten lassen.

Wer sich vor entsprechenden Attacken schützen will, sollte seine Windows-Systeme umgehend aktualisieren, sofern noch nicht geschehen. Patches stehen nicht nur für die Desktop-Betriebssysteme Windows 10 und Windows 11 bereit, sondern auch für Windows Server 2008 (R2), 2012, 2016, 2019 und 2022.

F

ür den Fall, dass die August-Updates beispielsweise aufgrund anderer dadurch entstehender Probleme noch nicht eingespielt werden können, empfiehlt Microsoft, IPv6 nach Möglichkeit vorerst zu deaktivieren, um das Risiko eines erfolgreichen Angriffs einzudämmen.

Kleine Änderung mit großer Wirkung

Ynwarcs verweist in seinem Github-Repository zu CVE-2024-38063 auf eine Analyse des Sicherheitsforschers Marcus Hutchins von Malwaretech, in der weitere Details zu der Sicherheitslücke zu finden sind. Herausgearbeitet hat er diese anhand von Anpassungen, die Microsoft in der Treiberdatei tcpip.sys vorgenommen hatte, um die Lücke zu patchen. Dabei gab es lediglich geringfügige Änderungen in einer einzigen Funktion.

Hutchins selbst veröffentlichte keinen PoC, da sich eine zuverlässige Ausnutzung des Fehlers für ihn "als extrem schwierig erwiesen" hat. Laut Ynwarcs muss das Zielsystem dafür dazu gebracht werden, empfangene Pakete zu einem gewissen Grad zu bündeln. "Einige Adapter- und Treiberpaare tun dies sehr gerne, während andere eher zögerlich zu sein scheinen", erklärt der Forscher auf Github. 

Gefunden unter https://www.golem.de/news/dringend-patchen-exploit-fuer-kritische-ipv6-luecke-in-windows-aufgetaucht-2408-188515.html

Ergänzende Infos unter https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063