Microsoft memperingatkan pelanggan hari Selasa ini untuk menambal kerentanan eksekusi kode jarak jauh (RCE) TCP/IP yang kritis dengan peningkatan kemungkinan eksploitasi yang memengaruhi semua sistem Windows yang menggunakan IPv6, yang diaktifkan secara default.
Ditemukan oleh Lab Kunlun Xiao Wei dan dilacak sebagai CVE-2024-38063bug keamanan ini disebabkan oleh Integer Underflow kelemahan yang dapat dimanfaatkan penyerang untuk memicu luapan buffer yang dapat digunakan untuk mengeksekusi kode sembarangan pada sistem Windows 10, Windows 11, dan Windows Server yang rentan.
“Mengingat dampak buruknya, saya tidak akan mengungkapkan lebih banyak detail dalam jangka pendek,” kata peneliti keamanan tersebut. di-tweetmenambahkan bahwa memblokir IPv6 pada firewall Windows lokal tidak akan memblokir eksploitasi karena kerentanan dipicu sebelum diproses oleh firewall.
Seperti yang dijelaskan Microsoft dalam penasihatnya pada hari Selasa, penyerang yang tidak diautentikasi dapat mengeksploitasi kelemahan tersebut dari jarak jauh dalam serangan dengan kompleksitas rendah dengan berulang kali mengirimkan paket IPv6 yang menyertakan paket yang dibuat khusus.
Microsoft juga membagikan penilaian eksploitasinya terhadap kerentanan kritis ini, menandainya dengan label “eksploitasi lebih mungkin terjadi”, yang berarti bahwa pelaku ancaman dapat membuat kode eksploitasi untuk “secara konsisten mengeksploitasi kelemahan dalam serangan.”
“Selain itu, Microsoft menyadari adanya contoh-contoh sebelumnya tentang eksploitasi kerentanan jenis ini. Hal ini akan menjadikannya target yang menarik bagi para penyerang, dan karenanya kemungkinan besar eksploitasi dapat dilakukan,” kata Redmond menjelaskan.
“Oleh karena itu, pelanggan yang telah meninjau pembaruan keamanan dan menentukan penerapannya dalam lingkungan mereka harus memperlakukannya dengan prioritas lebih tinggi.”
Sebagai tindakan mitigasi bagi mereka yang tidak dapat segera menginstal pembaruan keamanan Windows minggu ini, Microsoft menyarankan untuk menonaktifkan IPv6 untuk menghilangkan permukaan serangan.
Namun, pada situs web dukungannyaperusahaan tersebut mengatakan tumpukan protokol jaringan IPv6 adalah “bagian wajib dari Windows Vista dan Windows Server 2008 dan versi yang lebih baru” dan tidak menyarankan untuk menonaktifkan IPv6 atau komponennya karena hal ini dapat menyebabkan beberapa komponen Windows berhenti berfungsi.
Kerentanan yang dapat diserang cacing
Kepala Bidang Kesadaran Ancaman di Zero Day Initiative Trend Micro, Dustin Childs, juga menyebut bug CVE-2024-38063 sebagai salah satu kerentanan paling parah yang diperbaiki Microsoft pada Patch Tuesday ini, menandainya sebagai kelemahan yang dapat ditembus virus.
“Yang terburuk kemungkinan adalah bug pada TCP/IP yang memungkinkan penyerang jarak jauh yang tidak terotentikasi untuk mendapatkan peningkatan eksekusi kode hanya dengan mengirimkan paket IPv6 yang dibuat khusus ke target yang terpengaruh,” kata Childs.
“Itu artinya bisa disusupi. Anda dapat menonaktifkan IPv6 untuk mencegah eksploitasi ini, tetapi IPv6 diaktifkan secara default pada hampir semua hal.”
Sementara Microsoft dan perusahaan lain memperingatkan pengguna Windows untuk menambal sistem mereka sesegera mungkin untuk memblokir serangan potensial menggunakan eksploitasi CVE-2024-38063, ini bukan yang pertama dan mungkin tidak akan menjadi kerentanan Windows terakhir yang dapat dieksploitasi menggunakan paket IPv6.
Selama empat tahun terakhir, Microsoft telah menambal beberapa masalah IPv6 lainnya, termasuk dua kelemahan TCP/IP yang dilacak sebagai CVE-2020-16898/9 (juga disebut Ping of Death), yang dapat dimanfaatkan dalam eksekusi kode jarak jauh (RCE) dan serangan penolakan layanan (DoS) menggunakan paket Iklan Router ICMPv6 yang berbahaya.
Selain itu, bug fragmentasi IPv6 (CVE-2021-24086) membuat semua versi Windows rentan terhadap serangan DoS, dan kelemahan DHCPv6 (CVE-2023-28231) memungkinkan untuk memperoleh RCE dengan panggilan yang dibuat khusus.
Meskipun penyerang belum mengeksploitasinya dalam serangan meluas yang menargetkan semua perangkat Windows yang mendukung IPv6, pengguna tetap disarankan untuk segera menerapkan pembaruan keamanan Windows bulan ini karena meningkatnya kemungkinan eksploitasi CVE-2024-38063.
