A Microsoft alertou sobre a necessidade de instalar um patch para corrigir uma vulnerabilidade que ameaça todos os sistemas Windows que usam o protocolo IPv6 habilitado por padrão. A vulnerabilidade está relacionada à implementação do TCP/IP – permite a execução remota de código e a probabilidade de sua exploração é avaliada como alta.
Fonte da imagem: Pete Linforth / pixabay.com
A descoberta foi feita pelo especialista Xiao Wei, do Laboratório Kunlun. A vulnerabilidade, identificada como CVE-2024-38063, é causada por um erro Integer Underflow e pode ser explorada para executar código arbitrário em sistemas Windows 10, Windows 11 e Windows Server vulneráveis. O autor da descoberta disse que devido ao grau da ameaça, não divulgaria detalhes sobre a vulnerabilidade num futuro próximo; mas alertou que bloquear o IPv6 no Firewall local do Windows não fechará a vulnerabilidade, uma vez que ela é explorada antes que o firewall a processe.
Atacantes não autenticados podem explorar remotamente a vulnerabilidade, explicou a Microsoft, enviando repetidamente pacotes IPv6, incluindo pacotes especialmente criados. “Além disso, a Microsoft está ciente de explorações anteriores deste tipo de vulnerabilidade. Isso o torna um alvo atraente para invasores e, portanto, aumenta a probabilidade de criação de explorações”, acrescentou a empresa. Os usuários do Windows são aconselhados a instalar as atualizações de segurança desta semana. Desabilitar completamente o IPv6 pode fazer com que alguns componentes do sistema parem de funcionar porque é parte integrante do Windows Vista e do Windows Server 2008 e versões posteriores.
Dustin Childs, diretor de conscientização sobre ameaças da Iniciativa Zero Day da Trend Micro, classificou o CVE-2024-38063 como uma das vulnerabilidades mais sérias corrigidas na atualização do Windows desta semana. Ele permite que um invasor em potencial execute código remotamente simplesmente enviando pacotes IPv6 especialmente criados – não é necessário o envolvimento da vítima. Você pode impedir sua exploração bloqueando completamente o IPv6, mas este protocolo está habilitado por padrão em quase todos os componentes. Isso significa que os hackers podem escrever um programa malicioso – um worm que se espalha de forma independente pelas redes de computadores, aproveitando o erro CVE-2024-38063.