22 août 2024 Avis : RCE TCP/IP IPv6 de Microsoft Windows [CVE-2024-38063].

Vulnérabilité d'exécution de code à distance de Microsoft Windows IPv6 TCP/IP [CVE-2024-38063].

Date de divulgation : 13 août 2024

CVE-ID et score CVSS : CVE-2024-38063 : CVSS 9.8 (Critique)

Description du problème : Il s'agit d'une vulnérabilité vermifiable, de type "zero-click", dans la pile TCP/IP IPv6 de Microsoft Windows, qui permet aux attaquants d'exécuter à distance un code arbitraire sur les systèmes concernés sans aucune interaction de la part de l'utilisateur.

Description de l'actif : Le problème concerne les versions de Microsoft Windows qui supportent IPv6. Il est particulièrement risqué pour les serveurs Windows orientés vers l'internet et les dispositifs d'utilisateur avec IPv6 activé.

Impact de la vulnérabilité : Si elle est exploitée avec succès, cette vulnérabilité pourrait permettre à des attaquants d'exécuter du code arbitraire à distance, ce qui pourrait compromettre l'ensemble du système, entraîner un accès non autorisé aux données et/ou l'exposition d'informations sensibles.

Détails de l'exploitation : La faille est située dans le composant TCP/IP IPv6 de la pile réseau de Windows. Les attaquants peuvent exploiter cette vulnérabilité en envoyant des paquets IPv6 spécialement conçus à une machine cible, ce qui permet un RCE sans interaction de l'utilisateur.

Disponibilité du correctif : Microsoft a publié une mise à jour de sécurité pour cette vulnérabilité dans le cadre du Patch Tuesday d'août 2024. Il est essentiel que les entreprises appliquent rapidement cette mise à jour pour limiter les risques. S'il n'est pas possible d'appliquer immédiatement le correctif, la désactivation d'IPv6 sur les systèmes Windows concernés peut contribuer à réduire la surface d'attaque jusqu'à ce que le correctif soit appliqué.

Censys Perspective :

Cette vulnérabilité a été corrigée dans la même mise à jour que CVE-2024-38077, une vulnérabilité RCE du service de licence de bureau à distance de Windows pour laquelle nous avons précédemment publié un avis : https://censys.com/cve-2024-38077/.

Pour identifier les systèmes Windows non hébergés potentiellement vulnérables pour CVE-2024-38063, vous pouvez utiliser les mêmes requêtes Censys que celles qui ont été partagées pour suivre CVE-2024-38077 :

• Censys Requête de recherche: services.parsed.dcerpc.endpoints.explained_uuid=”3d267954-eeb7-11d1-b94e-00c04fa3080d v1.0″
• Censys Requête ASM: host.services.parsed.dcerpc.endpoints.explained_uuid=”3d267954-eeb7-11d1-b94e-00c04fa3080d v1.0″
• Censys Requête sur les risques ASM: risks.name="Vulnérabilité RCE du service de licence de bureau à distance de Windows [CVE-2024-38077]"

 

 

Références :

• Guide des mises à jour de sécurité de Microsoft - CVE-2024-38063
• The Register - Microsoft remédie à la vulnérabilité CVE-2024-38063 IPv6 RCE
• Dazz - Conseils sur le RCE Windows IPv6 TCP/IP CVE-2024-38063