Vulnerabilità TCP/IP per Windows che mette a rischio tutti i sistemi con IPv6 abilitato

Microsoft ha diffuso una nota di sicurezza invitando gli utenti ad applicare gli aggiornamenti del Patch Tuesday dei giorni scorsi che, oltre alle vulnerabilità 0-day di cui abbiamo parlato in precedenza, corregge anche una vulnerabilità di esecuzione di codice remoto presente nel protocollo TCP/IP e che interessa tutti i sistemi Windows che fanno uso di IPv6, che è abilitato come funzione predefinita.

La vulnerabilità, identificata come CVE-2024-38063, è stata scoperta da XiaoWei del Kunlun Lab. Il ricercatore ha spiegato che il problema deriva da una debolezza di tipo Integer Underflow, potenzialmente sfruttabile per innescare episodi di buffer overflow che a loro volta potrebbero consentire l'esecuzione di codice arbitrario su sistemi vulnerabili, inclusi Windows 10, Windows 11 e Windows Server. Il semplice blocco di IPv6 sul firewall Windows locale non è sufficiente a prevenire gli exploit, poiché la vulnerabilità può essere sfruttata e innescata prima che il traffico raggiunga il firewall. Il ricercatore ha definito la vulnerabilità particolarmente grave, e considerando la potenziale portata del problema ha deciso di non divulgare ulteriori dettagli nel breve termine.

Microsoft ha fornito ulteriori dettagli nella sua comunicazione, spiegando che la vulnerabilità può essere sfruttata da remoto mediante attacchi a bassa complessità, da aggressori non autenticati, inviando ripetutamente pacchetti IPv6 appositamente costruiti. L'azienda di Redmond ritiene che si tratti di una vulnerabilità ad alta probabilità di sfruttamento e che gli aggressori potrebbero facilmente costruire frammenti di codice in grado di sfruttare la falla anche durante altri attacchi.

Microsoft afferma inoltre di essere a conoscenza di precedenti casi di sfruttamento di vulnerabilità simili, il che rende CVE-2024-38063 una vulnerabilità particolarmente appetibile per i malintenzionati. Microsoft, alla luce di tutte le considerazioni condivise, raccomanda di trattare questo aggiornamento di sicurezza con la massima priorità.

Del resto CVE-2024-38063 non è la prima vulnerabilità di Windows sfruttabile attraverso pacchetti IPv6, con Microsoft che nell'arco degli ultimi quattro anni ha dovuto correggere numerosi altri problemi legati a IPv6: CVE-2020-16898/9, che potevano essere sfruttate in attacchi di esecuzione di codice remoto (RCE) e denial of service (DoS) attraverso pacchetti ICMPv6 Router Advertisement malevoli, CVE-2021-24086, che ha reso tutte le versioni di Windows vulnerabili agli attacchi DoS, e CVE-2023-28231, che che ha aperto la possibilità di ottenere RCE attraverso una chiamata appositamente costruita.