พบช่องโหว่ RCE Zero-click ผ่าน TCP/IP บน Windows ที่เปิดใช้งาน IPv6 อัปเดตแพตช์ด่วน

Microsoft ออกมาแจ้งเตือนผู้ใช้งานให้เร่งอัปเดต Tuesday patch ประจำเดือนสิงหาคม 2024 สำหรับช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ผ่าน TCP/IP ระดับ Critical ซึ่งมีโอกาสที่จะถูกนำมาใช้ในการโจมตี และส่งผลกระทบต่อ Windows ทุกเวอร์ชันที่มีการเปิดใช้งาน IPv6 เป็นค่าเริ่มต้น

ช่องโหว่นี้ถูกพบโดย XiaoWei นักวิจัยจาก Kunlun Lab ซึ่งถูกระบุเป็นหมายเลข CVE-2024-38063 ช่องโหว่ดังกล่าวเกิดจากข้อบกพร่องของ Integer Underflow ซึ่งผู้โจมตีอาจใช้ประโยชน์เพื่อทำให้เกิด Buffer Overflows ส่งผลให้ผู้โจมตีสามารถเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกลบน Windows 10, Windows 11 และ Windows Server ที่มีช่องโหว่ได้

XiaoWei ทวีตเกี่ยวกับช่องโหว่พร้อมกับเสริมว่า การบล็อกการเชื่อมต่อ IPv6 บน Windows Firewall ไม่สามารถป้องกันการโจมตีได้ เพราะช่องโหว่จะถูกดำเนินการก่อนที่จะผ่านการตรวจสอบบน Firewall และเมื่อพิจารณาถึงความเสียหายที่อาจจะเกิดขึ้น เขาจะยังไม่เปิดเผยรายละเอียดเพิ่มเติมในช่วงนี้

โดย Microsoft ระบุข้อมูลเกี่ยวกับช่องโหว่ไว้ว่า ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถโจมตีโดยใช้ช่องโหว่ดังกล่าวได้จากระยะไกลในรูปแบบการโจมตีที่มีความซับซ้อนต่ำ ด้วยการส่งแพ็กเก็ต IPv6 ที่ประกอบด้วยแพ็กเก็ตที่ถูกสร้างขึ้นมาโดยเฉพาะ

Microsoft ยังได้ระบุการประเมินการโจมตีโดยใช้ช่องโหว่ดังกล่าวไว้ว่ามีความเป็นไปได้สูง รวมถึงกรณีที่ช่องโหว่ประเภทนี้ถูกโจมตีในอดีตทำให้เป็นเป้าหมายที่น่าสนใจสำหรับผู้โจมตี ซึ่งหมายความว่าผู้โจมตีอาจสามารถสร้างโค้ดที่ใช้สำหรับการโจมตีได้ในเร็ว ๆ นี้

ดังนั้น ผู้ใช้งานที่สามารถทำการอัปเดตแพตซ์ได้กับระบบของตน ควรเร่งทำการอัปเดตโดยด่วน

ส่วนมาตรการสำหรับลดผลกระทบสำหรับผู้ใช้งานที่ยังไม่สามารถติดตั้งแพตซ์อัปเดตของ Windows ได้ทันที Microsoft แนะนำให้ปิดการใช้งาน IPv6 เพื่อลดความเสี่ยงจากการถูกโจมตี

อย่างไรก็ตามบนเว็บไซต์ของ Microsoft ระบุว่า IPv6 network protocol stack เป็นส่วนที่จำเป็นของ Windows Vista และ Windows Server 2008 และเวอร์ชันใหม่กว่า และไม่แนะนำให้ปิด IPv6 หรือ components ของ IPv6 เพราะอาจทำให้ Windows components บางส่วนหยุดทำงานได้

เป็นช่องโหว่ในรูปแบบ Wormable

ล่าสุด Dustin Childs - Head of Threat Awareness จาก Trend Micro's Zero Day Initiative ยังได้ระบุว่าช่องโหว่ CVE-2024-38063 เป็นหนึ่งในช่องโหว่ที่ร้ายแรงที่สุดที่ Microsoft ได้แก้ไขใน Patch Tuesday รอบนี้ โดยระบุว่าเป็นช่องโหว่ในลักษณะ wormable (ช่องโหว่ที่ส่งผลให้เกิดการโจมตีได้เป็นวงกว้าง และรวดเร็ว)

โดย Childs ระบุว่า "สิ่งที่อันตรายที่สุดน่าจะเป็นช่องโหว่ซึ่งเกิดใน TCP/IP ที่จะทำให้ผู้โจมตีจากภายนอกที่ไม่จำเป็นต้องผ่านการยืนยันตัวตนสามารถเรียกใช้คำสั่งที่เป็นอันตรายได้ เพียงแค่ส่งแพ็กเก็ต IPv6 ที่ถูกสร้างขึ้นมาโดยเฉพาะไปยังเป้าหมายที่ได้รับผลกระทบ ซึ่งหมายความว่ามันสามารถแพร่กระจายได้อย่างรวดเร็ว ถึงแม้องค์กรสามารถปิด IPv6 เพื่อป้องกันการโจมตีนี้ได้ แต่โดยส่วนใหญ่ IPv6 จะถูกเปิดใช้งานเป็นค่าเริ่มต้นในแทบทุกอุปกรณ์"

แม้ว่า Microsoft และบริษัทอื่น ๆ ได้แจ้งเตือนผู้ใช้ Windows ให้ทำการอัปเดตแพตช์โดยเร็วที่สุด เพื่อป้องกันการโจมตีที่อาจจะเกิดขึ้นจากช่องโหว่ CVE-2024-38063 แต่ช่องโหว่นี้ไม่ใช่ครั้งแรก และอาจจะไม่ใช่ครั้งสุดท้ายที่เป็นการใช้ประโยชน์จากแพ็กเก็ต IPv6

ในช่วงสี่ปีที่ผ่านมา Microsoft ได้แก้ไขปัญหา IPv6 อื่น ๆ อีกหลายรายการ รวมถึงช่องโหว่ TCP/IP สองรายการ ที่มีหมายเลข CVE-2020-16898/9 (หรือที่ถูกเรียกว่า Ping of Death) ที่สามารถใช้ในการโจมตีโดยการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) และการโจมตีแบบปฏิเสธการให้บริการ (DoS) โดยใช้แพ็กเก็ต ICMPv6 Router Advertisement ที่เป็นอันตราย

นอกจากนี้ช่องโหว่ IPv6 fragmentation (CVE-2021-24086) ก็ทำให้ Windows ทุกเวอร์ชันเสี่ยงต่อการโจมตีแบบ DoS และช่องโหว่ DHCPv6 (CVE-2023-28231) ที่ทำให้สามารถเกิดการโจมตีโดยการเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ได้เช่นกัน

แม้ว่ายังไม่พบหลักฐานว่าผู้โจมตีใช้ช่องโหว่เหล่านี้ในการโจมตีไปยังอุปกรณ์ Windows ที่เปิดใช้งาน IPv6 ทั้งหมด Microsoft ยังคงแนะนำให้ผู้ใช้งานเร่งติดตั้งแพตซ์อัปเดตของ Windows ในเดือนนี้โดยทันที เนื่องจากความน่าจะเป็นที่สูงขึ้นในการโจมตีโดยใช้ช่องโหว่ CVE-2024-38063

ที่มา : bleepingcomputer