Microsoft ha emitido una alerta urgente para que los usuarios de Windows apliquen un parche crítico que soluciona una vulnerabilidad de ejecución remota de código (RCE) en el protocolo TCP/IP, la cual afecta a todos los sistemas Windows con IPv6 habilitado. Esta vulnerabilidad, identificada como CVE-2024-38063 y descubierta por el investigador de Kunlun Lab, XiaoWei, podría permitir a los atacantes ejecutar código arbitrario en sistemas Windows 10, Windows 11 y Windows Server.
Detalles de la Vulnerabilidad
La vulnerabilidad se debe a una debilidad de desbordamiento de enteros que puede ser aprovechada para desencadenar desbordamientos de búfer. Según el investigador, los detalles sobre cómo explotar la vulnerabilidad no se revelarán en el corto plazo para evitar que se desarrollen más ataques. El problema se activa antes de que los paquetes IPv6 sean procesados por el cortafuegos de Windows, por lo que desactivar IPv6 en el cortafuegos local no es una solución efectiva.
Microsoft ha calificado la explotación de esta vulnerabilidad como «más probable», lo que significa que los actores de amenazas podrían desarrollar código de explotación para comprometer los sistemas afectados. La compañía también ha advertido que la vulnerabilidad podría ser un objetivo atractivo para los atacantes, dada la historia de explotación de vulnerabilidades similares.
Medidas de Mitigación
Para aquellos que no puedan aplicar los parches de seguridad de esta semana, Microsoft recomienda desactivar IPv6 para reducir la superficie de ataque. Sin embargo, advierte en su sitio web de soporte que el protocolo de red IPv6 es una parte «obligatoria» de Windows Vista y versiones posteriores, y desactivarlo podría causar problemas en algunos componentes del sistema operativo.
Evaluación de Expertos
Dustin Childs, jefe de Conciencia sobre Amenazas en la Iniciativa Zero Day de Trend Micro, ha calificado la CVE-2024-38063 como una de las vulnerabilidades más severas corregidas por Microsoft en el último Patch Tuesday. Childs describe el error como «wormable», lo que significa que podría permitir a un atacante remoto y no autenticado ejecutar código elevado simplemente enviando paquetes IPv6 especialmente diseñados a un objetivo afectado.
«El peor escenario es este error en TCP/IP, que permitiría a un atacante remoto no autenticado obtener ejecución de código elevado al enviar paquetes IPv6 especialmente diseñados. Esto lo convierte en una vulnerabilidad wormable», indicó Childs.
Historial de Vulnerabilidades IPv6
Esta no es la primera vez que Microsoft enfrenta vulnerabilidades relacionadas con IPv6. En los últimos cuatro años, la compañía ha corregido múltiples problemas relacionados con este protocolo, incluidos dos errores de TCP/IP rastreados como CVE-2020-16898/CVE-2020-16899 (también conocidos como Ping of Death), que pueden ser explotados en ataques de ejecución remota de código (RCE) y de denegación de servicio (DoS) utilizando paquetes ICMPv6 Router Advertisement maliciosos.
También se han abordado problemas como un error de fragmentación de IPv6 (CVE-2021-24086) que dejaba a todas las versiones de Windows vulnerables a ataques DoS, y una falla en DHCPv6 (CVE-2023-28231) que permitía obtener RCE con una llamada especialmente diseñada.
A pesar de que estos errores aún no se han explotado en ataques generalizados, los usuarios deben aplicar las actualizaciones de seguridad de Windows de este mes de inmediato debido a la alta probabilidad de explotación de la CVE-2024-38063.
Fuente: Bleeping computer
