Una nueva amenaza wormable: vulnerabilidad de Windows “Bad Neighbor”

En el reporte de Microsoft Patch Tuesday de octubre, se destacó una vulnerabilidad crítica denominada “Bad neighbor” identificada como CVE-2020-16898, que fue clasificada como una "wormable", por lo que recibió una puntuación CVSS de 9.8 de alta explotabilidad según Microsoft.

Ejecución de código remoto en Windows

La vulnerabilidad es ocasionada por un error de lógica en el controlador de pila TCP/IP de windows (tcpip.sys) cuando realiza los paquetes Router Advertisment ICMPv6 que utilizan la opción de servidor DNS recursivo (RDNSS) que podría conducir a un desbordamiento de buffer y permitir la ejecución de código de forma remota (RCE) mediante paquetes ICMPv6 especialmente diseñados y enviados de forma remota.

¿Qué significa que sea “wormable”?

Cuando una vulnerabilidad es wormable quiere decir que le permite a los atacantes lanzar un ataque que puede propagarse de una computadora vulnerable a otra comprometiendo a toda una red corporativa sin ninguna interacción humana.

Denegación de servicios en los equipos

En estos momentos no se tiene constancia de la explotación activa de la vulnerabilidad, no obstante, se tiene conocimiento de la existencia de un exploit compartido por Microsoft con los miembros de MAPP (Microsoft Active Protection Program) que desencadenaría un fallo BSoD, es decir, provocaría una interrupción del sistema conocida como “Blue Screen of Death” que podría conducir a la ejecución remota de código (RCE) mediante técnicas relativamente complejas.

Es probable que se requiera una fuga de memoria o un error de divulgación de información en el kernel de Windows para crear una cadena de explotación completa para esta vulnerabilidad. A pesar de esto, se espera ver exploits funcionales en un futuro cercano.

Panorama

La vulnerabilidad descrita exige atención, ya que afecta incluso a las versiones más recientes de Windows 10 y Windows Server utilizados en todo el globo por entornos empresariales y domésticos. Se prevé al corto plazo, la aparición de múltiples exploits de prueba de concepto (PoC) para esta vulnerabilidad por lo que recomendamos parchear sus sistemas a la brevedad posible.

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Como medida de mitigación alternativa a la actualización publicada por Microsoft, se puede deshabilitar ICMPv6 RDNSS, previo a consultar con su administrador de TI para confirmar que su infraestructura de red no depende de la configuración de DNS basada en RA.