مایکروسافت از کاربران خواسته است که برای رفع یک آسیبپذیری امنیتی مهم که میتواند توسط مهاجمان بهراحتی مورد سوءاستفاده قرار گیرد و بر تمامی سیستمهای ویندوزی که IPv6 در آنها فعال است تأثیر میگذارد، هر چه زودتر سیستمهای خود را بهروزرسانی کنند.
این آسیبپذیری امنیتی که توسط XiaoWei از آزمایشگاه Kunlun کشف شده و با شناسه CVE-2024-38063 شناخته میشود، به دلیل ضعف ناشی از سرریز عددی (Integer Underflow) ایجاد شده است. مهاجمان میتوانند از این ضعف استفاده کنند تا با ایجاد Buffer Overflow، کد دلخواه خود را بر روی سیستمهای ویندوز ۱۰، ویندوز ۱۱، و ویندوز سرور که آسیبپذیر هستند، اجرا کنند.
محقق امنیتی به دلیل خطرات ناشی از این آسیبپذیری تصمیم گرفته است جزئیات بیشتری در این زمان منتشر نکند. همچنین توضیح داده است که حتی اگر IPv6 را در فایروال ویندوز مسدود کنید، باز هم نمیتوانید از این آسیبپذیری جلوگیری کنید، زیرا این آسیبپذیری قبل از رسیدن دادهها به فایروال اتفاق میافتد.
مایکروسافت توضیح داده است که مهاجمان، حتی بدون نیاز به ورود یا شناسایی (بدون احراز هویت)، میتوانند از این آسیبپذیری از راه دور و با استفاده از حملاتی که پیچیدگی کمی دارند، سوءاستفاده کنند. برای انجام این کار، آنها بستههای IPv6 خاصی را بهطور مکرر به سیستم ارسال میکنند.
مایکروسافت همچنین ارزیابی خود از قابلیت بهرهبرداری این آسیبپذیری بحرانی را به اشتراک گذاشته و آن را با برچسب ‘احتمال بهرهبرداری بیشتر’ مشخص کرده است، که به این معناست که مهاجمان میتوانند کد بهرهبرداری ایجاد کنند تا بهطور مداوم از این نقص در حملات سوءاستفاده کنند.
مایکروسافت از موارد گذشتهای که این نوع آسیبپذیری مورد سوءاستفاده قرار گرفته است، آگاه است. این مسئله باعث میشود که این آسیبپذیری به یک هدف جذاب برای مهاجمان تبدیل شود و در نتیجه احتمال بیشتری وجود دارد که کدهای بهرهبرداری ایجاد شوند
مشتریانی که بررسی کردهاند و متوجه شدهاند که این بهروزرسانی امنیتی در سیستمهای آنها قابل استفاده است، باید با فوریت و اهمیت بیشتری این بهروزرسانی را انجام دهند.
مایکروسافت به کاربرانی که نمیتوانند بلافاصله بهروزرسانیهای امنیتی این هفته ویندوز را نصب کنند، پیشنهاد میکند که برای کاهش خطرات و جلوگیری از حمله، پروتکل IPv6 را غیرفعال کنند.
با این حال، شرکت در وبسایت پشتیبانی خود اعلام کرده است که پروتکل IPv6 بخشی ضروری از ویندوز ویستا، ویندوز سرور ۲۰۰۸ و نسخههای جدیدتر است و توصیه نمیکند که IPv6 یا اجزای آن را غیرفعال کنید، زیرا این کار ممکن است باعث توقف عملکرد برخی از اجزای ویندوز شود.
آسیبپذیری قابل انتشار بهوسیله Worm
Dustin Childs، رئیس بخش Zero Day Initiative شرکت ترند میکرو، همچنین آسیبپذیری CVE-2024-38063 را بهعنوان یکی از شدیدترین آسیبپذیریهایی که توسط مایکروسافت در این سهشنبه بهروزرسانی شده است، شناسایی کرد و آن را بهعنوان یک نقص قابل انتشار بهوسیله کرم (wormable) برچسبگذاری کرد.
Dustin Childs توضیح میدهد که بدترین آسیبپذیری ممکن، نقصی در پروتکل TCP/IP است که به مهاجم از راه دور، بدون نیاز به شناسایی یا ورود، این امکان را میدهد که با ارسال بستههای IPv6 بهطور ویژه طراحیشده به سیستم آسیبپذیر، کدهایی با دسترسی بالا اجرا کند.
آسیبپذیری مورد نظر بهگونهای است که میتواند بهطور خودکار و بدون نیاز به مداخله کاربر از یک سیستم به سیستمهای دیگر منتشر شود. برای جلوگیری از سوءاستفاده از این آسیبپذیری، یکی از راهها غیرفعال کردن IPv6 است، اما چون IPv6 بهطور پیشفرض بر روی تقریباً تمامی سیستمها فعال است، این کار میتواند دشوار باشد.
در حالی که مایکروسافت و سایر شرکتها به کاربران ویندوز هشدار دادند که برای جلوگیری از حملات احتمالی با استفاده از بهرهبرداریهای CVE-2024-38063 هر چه زودتر سیستمهای خود را بهروزرسانی کنند، این اولین آسیبپذیری ویندوز که با استفاده از بستههای IPv6 قابل بهرهبرداری است، نیست و احتمالاً آخرین هم نخواهد بود.
در چهار سال گذشته، مایکروسافت چندین آسیبپذیری مربوط به IPv6 را اصلاح کرده است. دو مورد از این آسیبپذیریها که با شناسههای CVE-2020-16898 و CVE-2020-16899 شناخته میشوند و به “Ping of Death” مشهور هستند، میتوانند در حملات اجرای کد از راه دور (RCE) و حملات منع سرویس (DoS) از طریق ارسال بستههای مخرب ICMPv6 مورد سوءاستفاده قرار گیرند.
یک باگ مربوط به fragmentation بستههای IPv6 که با شناسه CVE-2021-24086 شناخته میشود، باعث شده است که تمامی نسخههای ویندوز در برابر حملات منع سرویس (DoS) آسیبپذیر باشند. همچنین، یک نقص دیگر در پروتکل DHCPv6 که با شناسه CVE-2023-28231 شناخته میشود، امکان اجرای کد از راه دور را با استفاده از یک فراخوانی خاص به مهاجم میدهد.
با وجود اینکه هنوز مهاجمان این آسیبپذیریها را در حملات گسترده مورد سوءاستفاده قرار ندادهاند، به کاربران توصیه میشود به دلیل احتمال بالای بهرهبرداری از آسیبپذیری CVE-2024-38063، هر چه سریعتر بهروزرسانیهای امنیتی این ماه را نصب کنند.