El Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, ha avisadode la existencia y publicación de una vulnerabilidad crítica en la implementación del protocolo ICMPv6 en sistemas Windows. Ya está solucionada la vulnerabilidad, según señala el Boletín de Seguridad de Microsoft con fecha de octubre, y se la ha bautizado con el nombre Bad Neighbour (mal vecino). La vulnerabilidad tiene una explotabilidad alta y es wormable, por lo que podría ser utilizada para propagarse rápidamente a otros sistemas dentro de una misma red y comprometer toda una red corporativa. A continuación, se exponen los detalles técnicos conocidos de la vulnerabilidad:
CVE-2020-16898: La vulnerabilidad está ocasionada por un error de lógica en el controlador de pila TCP/IP de Windows (tcpip.sys) cuando analiza los paquetes Router Advertisement ICMPv6 que utilizan la opción de servidor DNS recursivo (RDNSS), que podría conducir a un desbordamiento de buffer y permitir la ejecución de código de forma remota (RCE) mediante paquetes ICMPv6 especialmente diseñados enviados de forma remota.
Actualmente, la base de datos del NIST no ha registrado la vulnerabilidad ni asignado puntuación según la escala CVSSv3, aunqueMicrosoft la ha calificado como crítica y le ha asignado una puntuación de 9.8 CVSSv3 al tratarse de una vulnerabilidad explotable de forma remota, con una complejidad baja, sin requerir privilegios y sin ser necesaria la interacción de un usuario legítimo.
En estos momentos no se tiene constancia de la explotación activa de la vulnerabilidad, no obstante, se tiene conocimiento de la existencia de un exploit compartido por Microsoft con los miembros de MAPP (Microsoft Active Protection Program) que desencadenaría un fallo BSoD, es decir, provocaría una interrupción del sistema conocida como “blue screen of death” que podría conducir a la ejecución remota de código (RCE) mediante técnicas relativamente complejas
Recursos afectados por la vulnerabilidad en windows: el listado
La vulnerabilidad afecta a los siguientes productos:
- Windows 10 versión 1709
- Windows 10 versión 1803
- Windows 10 versión 1809
- Windows 10 versión 1903
- Windows 10 versión 1909
- Windows 10 versión 2004
- Windows Server 2019
- Windows Server versión 1903 (Server Core Installation)
- Windows Server versión 1909 (Server Core Installation)
- Windows Server versión 2004 (Server Core Installation)
¿Cómo se soluciona esta vulnerabilidad?
Para solucionar la vulnerabilidad se recomienda aplicar el parche publicado por Microsoft que se ofrece a continuación, dentro de la sección “Security Updates”:
Recomendaciones:
Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Como medida de mitigación alternativa a la actualización publicada por Microsoft, para las versiones posteriores a Windows 1709, inclusive, se recomienda deshabilitar el servidor DNS recursivo ICMPv6 (RDNSS) mediante el siguiente comando PowerShell, sin que sea necesario reiniciar el equipo posteriormente:
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable
Para desactivar esta medida de mitigación, introducir el comando de PowerShell que se ofrece a continuación:
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable
De manera adicional, la compañía de seguridad McAfee ha incluido reglas Suricata en su sitio público de GitHub a fin de mejorar la protección de los usuarios.
Referencias:
La misión de CCN-CERT es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes.