11
Patchday: Ping of Death lässt grüßen! CVE-2020-16898
Am heutigen Patchday hat MS die CVE https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2 ... +Sowie CVE-2020-16899 inkl. Patches veröffentlicht.
Ein Fehler im IPv6 Treiber ermöglicht einen Buffer-Overflow per manipuliertem Router Advertisement Packet.
Aktuell lässt sich per PoC schon eine ungepatchte Maschine mit einem Bluescreen abschießen. Der Ping of Death ist zurück
Von da aus ist es allerdings nur noch eine Frage der Zeit, bis jemand einen funktionierenden Exploit daraus bastelt mit dem sich Code in ein Remotesystem einschmuggeln lässt.
Happy Patching!
Ein Fehler im IPv6 Treiber ermöglicht einen Buffer-Overflow per manipuliertem Router Advertisement Packet.
Aktuell lässt sich per PoC schon eine ungepatchte Maschine mit einem Bluescreen abschießen. Der Ping of Death ist zurück
Von da aus ist es allerdings nur noch eine Frage der Zeit, bis jemand einen funktionierenden Exploit daraus bastelt mit dem sich Code in ein Remotesystem einschmuggeln lässt.
Happy Patching!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 612400
Url: https://administrator.de/contentid/612400
Printed on: April 26, 2024 at 06:04 o'clock
11 Comments
Latest comment
Und der hier scheinbar zeitgleich:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2 ...
Ebenfalls IPv6, aber gleich mir Remote Code Execution
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2 ...
Ebenfalls IPv6, aber gleich mir Remote Code Execution
Thx aber das ist doch primär ein Thema für Maschinen die im Internet stehen und auch per ipv6 erreichbar sind oder?
Der Angriff kann auch von innen kommen. Sobald ein Rechner komprommitiert ist (z.B. durch Email, VBA Makro, USB Stick), installiert er 1000 verschiedene Viren nach, in der Hoffnung im erreichbaren internen Netz etwas ungepatchtes zu finden.
Wie @NordicMike schon geschrieben hat geht das grundsätzlich im Internen Netz über einen kompromittierten Host.
Aber auch schlecht konfigurierte öffentliche WLANs, bei denen die Hosts untereinander reden dürfen wären ein Problem.
Aber auch schlecht konfigurierte öffentliche WLANs, bei denen die Hosts untereinander reden dürfen wären ein Problem.
Und was ist, wenn ipv6 per GPO abgeschaltet is ?
Dann sollte der auch nicht auf ein Router Advertisement reagieren.
Ist aber eine schlechte Idee, denn IPv6 wird früher oder später eh obligatorisch.
Ist aber eine schlechte Idee, denn IPv6 wird früher oder später eh obligatorisch.
und die GPO umändern ist mit 2,3 Klicks erledigt 
Findet man irgendwo öffentlich die Info wie das Paket ausschauen muss um den Bluescreen zu triggern?
Ein Glück (soweit mir bekannt) noch nicht.
Sophos hat einen PoC https://news.sophos.com/en-us/2020/10/13/top-reason-to-apply-october-202 ... diesen aber natürlich nicht veröffentlicht
Sophos hat einen PoC https://news.sophos.com/en-us/2020/10/13/top-reason-to-apply-october-202 ... diesen aber natürlich nicht veröffentlicht
Hallo,
Dann sollte gegenüber dem Administrator sofort ein dauerhaftes Berufsverbot ausgesprochen werden. Anzumerken wäre auch, dass die ICMP-Pakete an diversen Stellen gefiltert werden. Bei mir greift neben der Windows-Firewall z.B. auch noch der Internetanbieter dazwischen.
Gruß,
Jörg
Dann sollte gegenüber dem Administrator sofort ein dauerhaftes Berufsverbot ausgesprochen werden. Anzumerken wäre auch, dass die ICMP-Pakete an diversen Stellen gefiltert werden. Bei mir greift neben der Windows-Firewall z.B. auch noch der Internetanbieter dazwischen.
Gruß,
Jörg
2
Ich hätte auch erwartet, dass ein Internetanbieter IPv6-Router-Advertisemements filtert, genauso wie DHCP-Acknowlegments auch.