Microsoft, Salı günü müşterilerini, varsayılan olarak etkin olan IPv6 kullanan tüm Windows sistemlerini etkileyen, istismar olasılığı artırılmış kritik bir TCP/IP uzaktan kod yürütme (RCE) güvenlik açığını düzeltmeleri konusunda uyardı.
CVE-2024-38063 olarak izlenen bu güvenlik hatası, saldırganların güvenlik açığı bulunan Windows 10, Windows 11 ve Windows Server sistemlerinde keyfi kod yürütmek için kullanılabilen arabellek taşmalarını tetiklemek amacıyla yararlanabileceği bir Tamsayı Alt Taşması zayıflığından kaynaklanmaktadır.
Şirketin açıkladığına göre, kimliği doğrulanmamış saldırganlar, özel olarak hazırlanmış paketleri içeren IPv6 paketlerini tekrar tekrar göndererek düşük karmaşıklıktaki saldırılarla bu açığı uzaktan istismar edebiliyor.
Microsoft ayrıca bu kritik güvenlik açığına yönelik istismar edilebilirlik değerlendirmesini paylaşarak, “istismar olasılığı daha yüksek” etiketini ekledi; bu da tehdit aktörlerinin saldırılarda “kusuru sürekli olarak istismar etmek için” istismar kodu oluşturabileceği anlamına geliyor.
“Ayrıca, Microsoft bu tür güvenlik açıklarının geçmişte istismar edildiğinin farkında. Bu, onu saldırganlar için çekici bir hedef haline getirir ve bu nedenle istismarların yaratılma olasılığı daha yüksektir,” diye açıklıyor Redmond.
“Bu nedenle, güvenlik güncellemesini inceleyen ve kendi ortamlarında uygulanabilirliğini belirleyen müşteriler, buna daha yüksek bir öncelik vermelidir.”
Bu haftaki Windows güvenlik güncelleştirmelerini hemen yükleyemeyenler için bir önlem olarak Microsoft, saldırı yüzeyini ortadan kaldırmak amacıyla IPv6’nın devre dışı bırakılmasını öneriyor.
Ancak şirket, destek sitesinde IPv6 ağ protokol yığınının “Windows Vista ve Windows Server 2008 ve daha yeni sürümlerinin zorunlu bir parçası” olduğunu söylüyor ve IPv6’yı veya bileşenlerini kapatmayı önermiyor; çünkü bu, bazı Windows bileşenlerinin çalışmamasına neden olabilir.
Solucanlaşabilir güvenlik açığı
Trend Micro’nun Zero Day Girişimi’nde Tehdit Farkındalığı Başkanı Dustin Childs da CVE-2024-38063 hatasını Microsoft’un bu Salı Yaması’nda düzelttiği en ciddi güvenlik açıklarından biri olarak nitelendirerek, bunu solucan benzeri bir kusur olarak nitelendirdi.
Childs, “En kötüsü muhtemelen TCP/IP’deki, uzaktan, kimliği doğrulanmamış bir saldırganın, etkilenen hedefe özel hazırlanmış IPv6 paketleri göndererek üst düzey kod yürütmesine izin veren hatadır” dedi.
“Bu, solucanlanabilir olduğu anlamına gelir. Bu açığı önlemek için IPv6’yı devre dışı bırakabilirsiniz, ancak IPv6 hemen hemen her şeyde varsayılan olarak etkindir.”
Microsoft ve diğer şirketler, Windows kullanıcılarını CVE-2024-38063 açığını kullanarak olası saldırıları engellemek için sistemlerini en kısa sürede yamalamaları konusunda uyardı; ancak bu, IPv6 paketlerini kullanarak istismar edilebilen ilk ve muhtemelen son Windows açığı olmayacak.
Microsoft, son dört yıl içinde, kötü amaçlı ICMPv6 Yönlendirici Reklam paketlerini kullanarak uzaktan kod yürütme (RCE) ve hizmet reddi (DoS) saldırılarında kullanılabilen, CVE-2020-16898/9 (ayrıca Ölüm Ping’i olarak da bilinir) olarak izlenen iki TCP/IP açığı da dahil olmak üzere birden fazla IPv6 sorununu düzeltti.
Ek olarak, bir IPv6 parçalanma hatası (CVE-2021-24086), tüm Windows sürümlerini DoS saldırılarına karşı savunmasız bıraktı ve bir DHCPv6 açığı (CVE-2023-28231) özel olarak hazırlanmış bir çağrı ile RCE kazanılmasını mümkün kıldı.
Saldırganlar henüz tüm IPv6 etkin Windows cihazlarını hedef alan yaygın saldırılarda bunları kullanmamış olsalar da, CVE-2024-38063’ün kullanılma olasılığının artması nedeniyle kullanıcıların bu ayki Windows güvenlik güncellemelerini derhal uygulamaları önerilir.