Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Windowsin TCP/IP-toteutuksesta on löydetty kriittinen haavoittuvuus IPv6-reititykseen liittyen

Haavoittuvuus30/2020

Haavoittuvuus mahdollistaa haitallisten pakettien avulla mielivaltaisen koodin suorittamisen. Se on saanut CVSS-arvosanaksi 9.8/10 ja Microsoftin arvion mukaan sen hyväksikäyttöä tullaan näkemään, mikäli päivityksiä ei asenneta viipymättä.

Microsoftin lokakuun kuukausipäivityksissä 13.10. julkaistu haavoittuvuus Windowsin TCP/IP-toteutuksen ICMPv6-reitityksessä antaa hyökkääjälle mahdollisuuden suorittaa haitallisia komentoja kohteessa. Microsoft on todentanut haavaan liittyvän esimerkkikoodin. Haavoittuvuus ei ole suoraan hyödynnettävissä internetin yli, vaan koskee kohteen sisäverkkoa.

Haavoittuvuus on relevantti, vaikka IPv6-protokolla ei olisi aktiivisesti käytössä, sillä toiminnallisuutena se on oletuksena kytkettynä päälle verkkoasetuksissa. Microsoft on lisännyt haavatiedotteeseensa ohjeen, miten IPv6:n saa kytkettyä pois päältä, mikäli sitä ei tarvitse.

Esimerkkikoodi aiheuttaa välittömän järjestelmän kaatumisen, mutta myös mahdollistaa laajemman haitallisen toiminnan. Haavoittuvuuden avulla hyökkääjä voi suorittaa mielivaltaisesti haitallista koodia. Tämänkaltainen kriittinen ohjelmointivirhe voi mahdollistaa matomaisen leviämisen ympäristössä. Haavoittuvuus sai lempinimen "Bad Neighbor" eli "paha naapuri", koska se sijaitsee ICMPv6:n protokollassa, joka liittyy reitittimien NDB (Neighbor Discovery Protocol) -hallintaprotokollaan

Kohde

  • Työasemat ja loppukäyttäjäsovellukset
  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen

Hyväksikäyttömenetelmä tiedossa

  • Haavoittuvuuden havainnollistava esimerkkikoodi

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvat ohjelmistot

Windows 10 versiot 1709, 1803, 1809, 1903, 1909 ja 2004
Windows Server 2019        
Windows Server 2019 (Server Core installation)        
Windows Server, versiot 1903 (Server Core installation)        
Windows Server, versiot 1909 (Server Core installation)        
Windows Server, versiot 2004 (Server Core installation)

Tarkemmat tiedot löytyvät Microsoftin-sivuilta (Ulkoinen linkki) (ulkoinen linkki).

Ratkaisu- ja rajoitusmahdollisuudet

Router Advertisement (RA) Guard -tekniikka voidaan ottaa käyttöön kytkimellä. Tekniikan avulla on mahdollista säädellä reitittien mainostukseen käytettävää pakettiliikennettä halutuilta reitittimiltä.

Hyökkääjä voi muuttaa RA:n sijaintia IPV6-paketissa käyttämällä lisäosien otsikkotietoja välttääkseen havainnointia erityisesti, jos turvallisuustyökalut eivät jäsennä (parse) koko RA-viestiä.

Yleisestikin verkon segmentointi on tärkeää ja auttaa rajoittamaan lateraalista liikennettä sisäverkossa. Päätelaitteiden eriyttäminen (host isolation) lisää myös sisäverkon turvallisuutta. Yksittäisen wifi-verkossa olevan koneen ei lähtökohtaisesti tarvitse kommunikoida viereisille saman verkon koneille. Kommunikointi suoraan päätelaiteelta toiselle päätelaiteelle tulisi lähtökohtaisesti estää.

Lisätietoja