Vulnerabilidad en Windows en el protocolo TCP-IP
En el pasado Patch Tuesday de Microsoft, el día 13 de agosto de 2024, se informaron diversas vulnerabilidades que afectaban a diferentes productos de Microsoft. Algunas de estas eran críticas, mientras que otras eran de carácter alto, medio o bajo.
Algunas destacaron, entre ellas, la CVE-2024-38063. Esta vulnerabilidad afecta al protocolo TCP/IP de muchos productos de Microsoft y permite la ejecución remota de código sin necesidad de interacción del usuario.
La explotación de la vulnerabilidad es posible gracias al manejo de los paquetes de IPv6 que realiza Windows a través de TCP/IP. La falla permite la ejecución remota de código cuando se procesan paquetes de IPv6 especialmente diseñados. No es necesario que el usuario realice alguna acción, el atacante, al explotar correctamente la vulnerabilidad, puede ganar acceso al sistema con los mismos privilegios del usuario actual, lo que potencialmente puede comprometer por completo el sistema.
El fallo raíz del problema reside en la forma en que Windows maneja los paquetes IPv6. Cuando el sistema operativo debe procesar y manejar el tráfico de red que usa dicho protocolo de IP, hay una falta de validación en ciertos paquetes, lo cual permite que el atacante envíe paquetes especialmente diseñados para sortear esta validación, comprometiendo así el sistema.
Como la CVE solo puede ser explotada mediante paquetes de IPv6, se recomienda desactivar el protocolo para mitigar el problema. También se puede instalar la actualización del software correspondiente, dependiendo del que se esté utilizando.
Versiones Afectadas
|
Producto |
Versión |
|
Windows 10 Version 1809 32-bit Systems, x64-based Systems, ARM64-based Systems |
Desde la 10.0.0 hasta la 10.0.17763.6189 sin incluirla |
|
Windows server 2019 x64-based Systems |
Desde la 10.0.0 hasta la 10.0.17763.6189 sin incluirla |
|
Windows Server 2019 (Server Core Installation) x64-based Systems |
Desde la 10.0.0 hasta la 10.0.17763.6189 sin incluirla |
|
Windows 11 version 21H2 x64-based Systems, ARM64-based Systems |
Desde la 10.0.0 hasta la 10.0.22000.3147 sin incluirla |
|
Windows Server 2022 x64-based Systems |
Desde la 10.0.0 hasta la 10.0.20348.2655 sin incluirla |
|
Windows 11 version 21H2 x64-based Systems, ARM64-based Systems |
Desde la 10.0.0 hasta la 10.0.22000.3147 sin incluirla |
|
Windows 10 Version 21H2 32-bit Systems, ARM64-based Systems |
Desde la 10.0.0 hasta la 10.0.19044.4780 sin incluirla |
|
Windows 11 version 22H2 ARM64-based Systems, x64-based Systems |
Desde la 10.0.0 hasta la 10.0.22621.4037 sin incluirla |
|
Windows 10 Version 22H2 x64-based Systems, ARM64-based Systems, 32-bit Systems |
Desde la 10.0.0 hasta la 10.0.19045.4780 sin incluirla |
|
Windows 11 version 22H2 ARM64-based Systems, x64-based Systems |
Desde la 10.0.0 hasta la 10.0.22621.4037 sin incluirla |
|
Windows 10 Version 22H2 x64-based Systems, ARM64-based Systems, 32-bit Systems |
Desde la 10.0.0 hasta la 10.0.19045.4780 sin incluirla |
|
Windows 11 version 22H3 ARM64-based Systems |
Desde la 10.0.0 hasta la 10.0.22631.4037 sin incluirla |
|
Windows 11 Version 23H2 x64-based Systems |
Desde la 10.0.0 hasta la 10.0.22631.4037 sin incluirla |
|
Windows Server 2022, 23H2 Edition (Server Core installation) x64-based Systems |
Desde la 10.0.0 hasta la 10.0.25398.1085 sin incluirla |
|
Windows 10 Version 1507 32-bit Systems, x64-based Systems |
Desde la 10.0.0 hasta la 10.0.10240.20751 sin incluirla |
|
Windows 10 Version 1607 32-bit Systems, x64-based Systems |
Desde la 10.0.0 hasta la 10.0.14393.7259 sin incluirla |
|
Windows Server 2016 x64-based Systems |
Desde la 10.0.0 hasta la 10.0.14393.7259 sin incluirla |
|
Windows Server 2016 (Server Core installation) x64-based Systems |
Desde la 10.0.0 hasta la 10.0.14393.7259 sin incluirla |
|
Windows Server 2008 Service Pack 2 32-bit Systems |
Desde la 6.0.0 hasta la 6.0.6003.22825 sin incluirla |
|
Windows Server 2008 Service Pack 2 (Server Core installation) 32-bit Systems, x64-based Systems |
Desde la 6.0.0 hasta la 6.0.6003.22825 sin incluirla |
|
Windows Server 2008 Service Pack 2 x64-based Systems |
Desde la 6.0.0 hasta la 6.0.6003.22825 sin incluirla |
|
Windows Server 2008 R2 Service Pack 1 x64-based Systems |
Desde la 6.1.0 hasta la 6.1.7601.27277 sin incluirla |
|
Windows Server 2008 R2 Service Pack 1 (Server Core installation) x64-based Systems |
Desde la 6.0.0 hasta la 6.1.7601.27277 sin incluirla |
|
Windows Server 2012 x64-based Systems |
Desde la 6.2.0 hasta la 6.2.9200.25031 sin incluirla |
|
Windows Server 2012 (Server Core installation) x64-based Systems |
Desde la 6.2.0 hasta la 6.2.9200.25031 sin incluirla |
|
Windows Server 2012 R2 x64-based Systems |
Desde la 6.3.0 hasta la 6.3.9600.22134 sin incluirla |
|
Windows Server 2012 R2 (Server Core installation) x64-based Systems |
Desde la 6.3.0 hasta la 6.3.9600.22134 sin incluirla |
|
Windows 11 Version 24H2 ARM64-based Systems, x64-based Systems |
Desde la 10.0.0 hasta la 10.0.26100.1457 sin incluirla |
|
Windows 10 Version 1607 32-bit Systems, x64-based Systems |
Desde la 10.0.0 hasta la 10.0.14393.7259 sin incluirla |
|
Windows Server 2016 x64-based Systems |
Desde la 10.0.0 hasta la 10.0.14393.7259 sin incluirla |
|
Windows Server 2016 (Server Core installation) x64-based Systems |
Desde la 10.0.0 hasta la 10.0.14393.7259 sin incluirla |
Recomendaciones
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
-
Desactivar el protocolo IPv6
Referencias
- Red Piranha. (2024, Agosto 19Threat Intelligence Report August 13 - August 19 2024. Recuperado el 19 de agosto del 2024 en: https://www.nist.gov/news-events/news/2024/02/nist-releases-version-20-landmark-cybersecurity-framework
.jpg)
