seastorm
Goto Top

Patchday: Ping of Death lässt grüßen! CVE-2020-16898

Am heutigen Patchday hat MS die CVE https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2 ... +Sowie CVE-2020-16899 inkl. Patches veröffentlicht.
Ein Fehler im IPv6 Treiber ermöglicht einen Buffer-Overflow per manipuliertem Router Advertisement Packet.

Aktuell lässt sich per PoC schon eine ungepatchte Maschine mit einem Bluescreen abschießen. Der Ping of Death ist zurück face-smile
Von da aus ist es allerdings nur noch eine Frage der Zeit, bis jemand einen funktionierenden Exploit daraus bastelt mit dem sich Code in ein Remotesystem einschmuggeln lässt.

Happy Patching!

Content-ID: 612400

Url: https://administrator.de/knowledge/patchday-ping-of-death-laesst-gruessen-cve-2020-16898-612400.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

NordicMike
NordicMike 14.10.2020 um 11:27:59 Uhr
Goto Top
Und der hier scheinbar zeitgleich:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2 ...

Ebenfalls IPv6, aber gleich mir Remote Code Execution
Ex0r2k16
Ex0r2k16 14.10.2020 um 13:30:24 Uhr
Goto Top
Thx aber das ist doch primär ein Thema für Maschinen die im Internet stehen und auch per ipv6 erreichbar sind oder?
NordicMike
NordicMike 14.10.2020 um 13:35:07 Uhr
Goto Top
Der Angriff kann auch von innen kommen. Sobald ein Rechner komprommitiert ist (z.B. durch Email, VBA Makro, USB Stick), installiert er 1000 verschiedene Viren nach, in der Hoffnung im erreichbaren internen Netz etwas ungepatchtes zu finden.
SeaStorm
SeaStorm 14.10.2020 um 13:50:22 Uhr
Goto Top
Wie @NordicMike schon geschrieben hat geht das grundsätzlich im Internen Netz über einen kompromittierten Host.
Aber auch schlecht konfigurierte öffentliche WLANs, bei denen die Hosts untereinander reden dürfen wären ein Problem.
Ex0r2k16
Ex0r2k16 14.10.2020 um 14:32:31 Uhr
Goto Top
Und was ist, wenn ipv6 per GPO abgeschaltet is ? face-smile
Windows10Gegner
Windows10Gegner 14.10.2020 um 19:33:12 Uhr
Goto Top
Dann sollte der auch nicht auf ein Router Advertisement reagieren.
Ist aber eine schlechte Idee, denn IPv6 wird früher oder später eh obligatorisch.
Ex0r2k16
Ex0r2k16 15.10.2020 um 09:05:28 Uhr
Goto Top
und die GPO umändern ist mit 2,3 Klicks erledigt face-wink
NetzwerkDude
NetzwerkDude 15.10.2020 um 23:02:16 Uhr
Goto Top
Findet man irgendwo öffentlich die Info wie das Paket ausschauen muss um den Bluescreen zu triggern?
SeaStorm
SeaStorm 15.10.2020 um 23:32:35 Uhr
Goto Top
Ein Glück (soweit mir bekannt) noch nicht.
Sophos hat einen PoC https://news.sophos.com/en-us/2020/10/13/top-reason-to-apply-october-202 ... diesen aber natürlich nicht veröffentlicht
117471
117471 18.10.2020 um 14:25:42 Uhr
Goto Top
Hallo,

Zitat von @Ex0r2k16:

Und was ist, wenn ipv6 per GPO abgeschaltet is ? face-smile

Dann sollte gegenüber dem Administrator sofort ein dauerhaftes Berufsverbot ausgesprochen werden. Anzumerken wäre auch, dass die ICMP-Pakete an diversen Stellen gefiltert werden. Bei mir greift neben der Windows-Firewall z.B. auch noch der Internetanbieter dazwischen.

Gruß,
Jörg
Windows10Gegner
Windows10Gegner 18.10.2020 um 14:31:58 Uhr
Goto Top
Ich hätte auch erwartet, dass ein Internetanbieter IPv6-Router-Advertisemements filtert, genauso wie DHCP-Acknowlegments auch.