[English]Noch ein kleiner Nachtrag zum Wochenstart. Administratoren und Nutzer sollten die Sicherheitsupdates für Windows 10 und dessen Server-Pendants vom 13. Oktober 2020 zeitnah installieren. Dann wird die TCP/IP-Schwachstelle CVE-2020-16898 (‚Bad Neighbor‘) geschlossen. Das US-CERT warnt explizit vor dieser Schwachstelle.
Die Schwachstelle CVE-2020-16898
Die Schwachstelle CVE-2020-16898 wurde zum 13. Oktober 2020 von Microsoft in einem Sicherheitshinweis offen gelegt. Es handelt sich um eine Remote Code Execution-Schwachstelle (RCE) in Microsofts Windows TCP/IP-Implementierung. Microsoft schreibt dazu im Sicherheitshinweis:
A remote code execution vulnerability exists when the Windows TCP/IP stack improperly handles ICMPv6 Router Advertisement packets. An attacker who successfully exploited this vulnerability could gain the ability to execute code on the target server or client.
To exploit this vulnerability, an attacker would have to send specially crafted ICMPv6 Router Advertisement packets to a remote Windows computer.
Die Implementierung des Windows TCP/IP-Stacks behandelt ICMPv6 Router Advertisement-Pakete fehlerhaft. Um diese Schwachstelle auszunutzen, müsste ein Angreifer speziell gestaltete ICMPv6-Router-Advertisement-Pakete per Netzwerk an einen Windows-Computer senden. Dann hat der Angreifer aber die Möglichkeit, über diese Schwachstelle Code auf dem Zielserver oder -client auszuführen.
Microsoft hat inzwischen die CVSS-Bewertung von 9,8 auf 8,8 gesenkt, weil die Schwachstelle nicht über das Internet routingfähig ist, wie die Kollegen von Bleeping Computer hier melden.
US-CERT warnt – Exploits verfügbar – patchen
Auf Twitter hat das US-CERT Cyber Command bereits vorigen Freitag (15. Oktober 2020) die Warnung veröffentlicht, dass Leute die Schwachstelle CVE-2020-16898 patchen sollten.
McAfee hat zum 13. Oktober eine detaillierte Beschreibung zur Schwachstelle veröffentlicht. Eine weitere Analyse gibt es hier im Quarkslab-Blog. Zum 16. Oktober 2020 gab es diesen Beitrag, wie man einen Exploit für die Schwachstelle nutzen kann (Referenzen hier und hier ). Es ist also Zeit, diese Schwachstelle zu fixen. Microsoft gibt quasi alle Windows 10-Builds, sowie die betreffenden Windows Server-Pendants – als betroffen an. In den Supportbeiträgen zu den Oktober 2020 Sicherheitsupdates ist die Schwachstelle CVE-2020-16898 bzw. der Fix bisher aber nicht explizit erwähnt (siehe auch Patchday: Windows 10-Updates (13. Oktober 2020)).
Bleeping Computer hat einen Beitrag zum Thema mit Hinweisen zur Abschwächung des Bugs über den Befehl:
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable
veröffentlicht – falls jemand den Patch nicht sofort installieren kann.
Wer in den Update-Verlauf seines Win10 2004 schaut, kann sehen, das KB4579311 mit letztem Oktober Update installiert wurde.
Mein ADSL 2+ Anschluss hat kein IPv6, von daher läuft das bei mir ohnehin ins Leere.
Man kann ja auch IPV6 in den Netzwerkkarteneinstellungen ausschalten. Oder per Win-Firewall alle eingehenden IPV6 blockieren. Braucht man intern eh nicht.