Windowsin TCP/IP-toteutuksesta on löydetty kriittinen haavoittuvuus IPv6-reititykseen liittyen | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Windowsin TCP/IP-toteutuksesta on löydetty kriittinen haavoittuvuus IPv6-reititykseen liittyen

15. lokakuuta 2020 klo 13.54

Haavoittuvuus mahdollistaa haitallisten pakettien avulla mielivaltaisen koodin suorittamisen. Se on saanut CVSS-arvosanaksi 9.8/10 ja Microsoftin arvion mukaan sen hyväksikäyttöä tullaan näkemään, mikäli päivityksiä ei asenneta viipymättä.

Microsoftin lokakuun kuukausipäivityksissä 13.10. julkaistu haavoittuvuus Windowsin TCP/IP-toteutuksen ICMPv6-reitityksessä antaa hyökkääjälle mahdollisuuden suorittaa haitallisia komentoja kohteessa. Microsoft on todentanut haavaan liittyvän esimerkkikoodin. Haavoittuvuus ei ole suoraan hyödynnettävissä internetin yli, vaan koskee kohteen sisäverkkoa.

Haavoittuvuus on relevantti, vaikka IPv6-protokolla ei olisi aktiivisesti käytössä, sillä toiminnallisuutena se on oletuksena kytkettynä päälle verkkoasetuksissa. Microsoft on lisännyt haavatiedotteeseensa ohjeen, miten IPv6:n saa kytkettyä pois päältä, mikäli sitä ei tarvitse.

Esimerkkikoodi aiheuttaa välittömän järjestelmän kaatumisen, mutta myös mahdollistaa laajemman haitallisen toiminnan. Haavoittuvuuden avulla hyökkääjä voi suorittaa mielivaltaisesti haitallista koodia. Tämänkaltainen kriittinen ohjelmointivirhe voi mahdollistaa matomaisen leviämisen ympäristössä. Haavoittuvuus sai lempinimen "Bad Neighbor" eli "paha naapuri", koska se sijaitsee ICMPv6:n protokollassa, joka liittyy reitittimien NDB (Neighbor Discovery Protocol) -hallintaprotokollaan

Haavoittuvuuden kohde

Windows 10 versiot 1709, 1803, 1809, 1903, 1909 ja 2004
Windows Server 2019        
Windows Server 2019 (Server Core installation)        
Windows Server, versiot 1903 (Server Core installation)        
Windows Server, versiot 1909 (Server Core installation)        
Windows Server, versiot 2004 (Server Core installation)

Tarkemmat tiedot löytyvät Microsoftin-sivuilta (ulkoinen linkki).

Mistä on kysymys?

Router Advertisement (RA) Guard -tekniikka voidaan ottaa käyttöön kytkimellä. Tekniikan avulla on mahdollista säädellä reitittien mainostukseen käytettävää pakettiliikennettä halutuilta reitittimiltä.

Hyökkääjä voi muuttaa RA:n sijaintia IPV6-paketissa käyttämällä lisäosien otsikkotietoja välttääkseen havainnointia erityisesti, jos turvallisuustyökalut eivät jäsennä (parse) koko RA-viestiä.

Yleisestikin verkon segmentointi on tärkeää ja auttaa rajoittamaan lateraalista liikennettä sisäverkossa. Päätelaitteiden eriyttäminen (host isolation) lisää myös sisäverkon turvallisuutta. Yksittäisen wifi-verkossa olevan koneen ei lähtökohtaisesti tarvitse kommunikoida viereisille saman verkon koneille. Kommunikointi suoraan päätelaiteelta toiselle päätelaiteelle tulisi lähtökohtaisesti estää.

Mitä voin tehdä?

"RA Guard" -tekniikka on dokumetoituna RFC 6105 ja RFC 7113:ssa.

RFC 6105: IPv6 Router Advertisement Guard (ulkoinen linkki)

RFC 7113: Implementation Advice for IPv6 Router Advertisement Guard (RA-Guard) (ulkoinen linkki)

Mitre: CVE-2020-16898 (ulkoinen linkki)
Microsoft: CVE-2020-16898 | Windows TCP/IP Remote Code Execution Vulnerability (ulkoinen linkki))
ZDNET:Microsoft October 2020 Patch Tuesday fixes 87 vulnerabilities (ulkoinen linkki)
Infoblox: Why You Must Use ICMPv6 Router Advertisements (RAs) (ulkoinen linkki)
McAfee: CVE-2020-16898: “Bad Neighbor” (ulkoinen linkki)

Työasemat ja loppukäyttäjäsovellukset

Työasemien ja tavallisten käyttäjien sovellusten haavoittuvuudet koskevat usein monia käyttäjiä. Kohteena voi olla esimerkiksi Windows-käyttöjärjestelmä tai tekstinkäsittelyohjelma. Ero palvelinsovellusten ja loppukäyttäjäsovellusten välillä on joskus häilyvä, esimerkiksi samaa käyttöjärjestelmää voidaan käyttää sekä palvelimessa että työasemassa.

Palvelimet ja palvelinsovellukset

Palvelinten ja palvelinohjelmistojen haavoittuvuudet koskevat esimerkiksi sähköisten asiointipalvelujen tarjoajia. Tyypillisiä kohteita ovat palvelinten käyttöjärjestelmät ja www- tai sähköpostipalvelinohjelmistot kuten esimerkiksi SunOS, Linux, Apache, IIS tai Sendmail.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Haavoittuvuuden havainnollistava esimerkkikoodi

Proof of concept.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.