“Bad Neighbor” Kwetsbaarheid CVE-2020-16898

14 oktober 2020

Microsoft heeft op 13 oktober 2020 updates uitgebracht voor verschillende beveiligingsproblemen. Voor het eerst in zeven maanden worden er minder dan 100 CVE’s gepatched. Twee van deze beveiligingsproblemen zijn gerelateerd aan IPv6 en zijn door het securityteam van Microsoft zelf geïdentificeerd.

Het betreft hier de volgende kwetsbaarheden:

CVE-2020-16898 | Windows TCP/IP Remote Code Execution Vulnerability (severity Critical)

CVE-2020-16899 | Windows TCP/IP Denial of Service Vulnerability (severity Important)

Kwetsbaarheden

Beide kwetsbaarheden zijn theoretisch te exploiteren met een (multicast) ICMPv6 Router Advertisement (RA). Routers kondigden normaal gesproken hiermee hun aanwezigheid in het netwerk aan. Dit wordt gebruikt voor het Neighbor Discovery Protocol (NDP). NDP kan ook worden ingezet voor het uitvoeren van netwerk aanvallen waardoor bijvoorbeeld een man-in-the-middle positie verkregen kan worden. In de netwerkinfrastructuur kunnen echter maatregelen worden getroffen om dit te voorkomen.

Volgens informatie van McAfee Advanced Threat Research betreft de DoS kwetsbaarheid een out-of-bounds read waardoor een Blue Screen of Death (BSoD) kan optreden. Hiervoor wordt een RA met een geprepareerde DNS Search List (DNSSL) option gebruikt.

De RCE-kwetsbaarheid kan worden geëxploiteerd door een RA te sturen met een geprepareerde Recursive DNS Server (RDNSS) option. Gelukkig zijn er door Microsoft verschillende beveiligingsmaatregelen getroffen (zoals ASLR) waardoor succesvolle exploitatie niet eenvoudig is.

Slecht nieuws

Wormable

Als de aanwezige beveiligingsmaatregelen kunnen worden omzeild, dan bestaat de mogelijkheid dat deze kwetsbaarheid kan worden gebruikt voor de automatische verspreiding van malware zonder gebruikersinteractie.

Workaround

Microsoft heeft naast updates ook workarounds gepubliceerd. Deze kunnen echter problemen veroorzaken in IPv6 netwerken.

Access42 is van mening dat de inzet van maatregelen in de netwerkinfrastructuur (RA snooping) een betere workaround is. Het gebruik hiervan is sowieso aan te bevelen.

Goede nieuws

Aanvalsoppervlak

Een ICMPv6 Router Advertisement hoort niet over het internet te kunnen propageren. Het aanvalsoppervlak is hierdoor enigszins beperkt.

Bad Neighbor