Patch Tuesday di Ottobre 2020: Bad Neighbor vulnerabilità critica

Gli aggiornamenti riguardano i seguenti prodotti Microsoft:

• Microsoft Windows
• Microsoft Office and Microsoft Office Services and Web Apps
• Microsoft JET Database Engine
• Azure Functions
• Open Source Software
• Microsoft Exchange Server
• Visual Studio
• PowerShellGet
• Microsoft .NET Framework
• Microsoft Dynamics
• Adobe Flash Player
• Microsoft Windows Codecs Library

Riepiloghiamo le vulnerabilità più critiche che sono state risolte con il Tuesday Patch di Ottobre.

Prima tra tutte troviamo la CVE-2020-16898, meglio conosciuta come Bad Neighbor.

Patch Tuesday Bad Neighbor: CVE-2020-16898, Windows TCP/IP Remote Code Execution Vulnerability

Bad Neighbor è una vulnerabilità critica nello stack IPv6 di Windows, che permetterebbe ad un malintenzionato di bypassare le protezioni di Windows 10 e Windows Server 2019, garantendo l’esecuzione di codice remoto sul sistema bersaglio.

Con il termine stack IP, si intende tutta la famiglia riguardante il protocollo IP (Internet Protocol), cioè il protocollo standard di rete utilizzato su tutti i sistemi informatici, che ci permette di navigare su internet. 

Nel caso specifico si parla della versione 6 del protocollo IP, l’ultima attualmente in circolazione.

L’IPv6 utilizza per il monitoraggio dei nodi (router) e per segnalare eventuali errori riscontrati nell’elaborazione dei pacchetti, il protocollo ICMPv6 che è parte integrante del protocollo IPv6. 

La vulnerabilità Bad Neighbor colpisce l’ICMPv6, più precisamente il Neighbor Discovery Protocol (NDP), il cui utilizzo principale consiste nella ritrasmissione degli indirizzi IPv6 in indirizzi MAC validi, i quali stanno alla base degli indirizzi hardware del dispositivo in uso (quello che fà il protocollo ARP nella versione 4 del protocollo IP). Tutti gli indirizzi individuati vengono conservati all’interno di una cache. Questa cache, chiamata per l’appunto Neightbor Cache, contiene la lista degli indirizzi di rete locali e le informazioni necessarie a instradare i pacchetti, permettendo di identificare i client vicini e distinguerli da quelli al di fuori della rete locale.

Ad esempio con Windows viene utilizzato il programma netsh (network shell) e il seguente comando per elencare i client vicini nella rete: netsh interface ipv6 show neighbors.

Neighbor Discovery definisce cinque diversi tipi di pacchetti ICMP che variano in base al Tipo di informazione che devono gestire:

• Router Advertisement (Tipo 134), ad intervalli regolari i router mandano dei messaggi ICMP del Tipo 134, con lo scopo di informare tutti i dispositivi della rete della loro presenza, oltre a condividere i parametri necessari alla corretta configurazione automatica dell’IP (default gateway e un flag che specifica se gli indirizzi possono essere utilizzati per l’assegnazione dinamica DHCP6).
• Router Solicitation (Tipo 133), come lo stesso nome indica è un Tipo di messaggio che esorta i nodi della rete ad inviare messaggi di Tipo 134, Router Advertisement, fuori dalla scadenza dell’intervallo (tempo di ritrasmissione).
• Neighbor Solicitation (Tipo 135), questo Tipo di messaggio viene utilizzato per scoprire l’indirizzo MAC dell’host di destinazione ed eventualmente comunicare il proprio indirizzo.
• Neighbor Advertisement (Tipo 136), l’invio di questo tipo di messaggio viene dato come risposta al Tipo 135, oltre che per informare i membri di una rete su eventuali cambiamenti nella configurazione degli indirizzi.
• Redirect (Tipo 137), Redirezione, utilizzato dai Router per informare la stazione inviante di eventuali migliori percorsi da prendere per raggiungere l’indirizzo target desiderato.

Bad Neighbor sfrutta una vulnerabilità del Router Advertisement (Tipo 134). All’interno del Router Advertisement vi è un opzione denominata RDNSS, Recursive DNS Server Option (Tipo di Opzione 25), utilizzata per effettuare la risoluzione dei nomi host in indirizzi IPv6.

L’opzione RDNSS è composta da 5 campi contenenti: Tipo, Lunghezza, Riservato, Durata, Indirizzi dei server DNS ricorsivi IPv6.

Ogni volta che un host IPv6 riceve un pacchetto ICMPv6 contenente un RDNSS attraverso il messaggio di Tipo 134, elabora le opzioni validando il campo Lunghezza che secondo lo standard deve avere un valore minimo di 3 cioè che contiene almeno 1 singolo indirizzo IPv6. Ogni indirizzo aggiunto, aumenta la lunghezza di 2.

Quando viene fornito un valore di lunghezza pari, lo stack TCP/IP di Windows, erroneamente non controlla la conformità del valore fornito che secondo lo standard come abbiamo visto deve essere minimo di 3 con incremento di 2 per ogni indirizzo. Questa anomalia determina un overflow del buffer e quindi la possibilità di eseguire un exploit da remoto.

Oltre alla patch Microsoft ha rilasciato una soluzione alternativa che consiste nel disabilitare RDNSS ICMPv6, tramite comando PowerShell: netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable, se non essenziale. Ovviamente il patching è sempre consigliato.

Tuesday Patch di Ottobre 2020: Bad Neighbor, ma non solo

Abbiamo visto nel dettaglio in cosa consiste la vulnerabilità Bad Neightbor CVE-2020-16898, ma questo Tuesday Patch contiene altri bug fix che vale la pena esplorare:

CVE-2020-16947, Microsoft Outlook Remote Code Execution Vulnerability, bug che colpisce Microsoft Outlook, deriva da un difetto dell’analisi del contenuto HTML in una mail, che innesca un buffer overflow basato sullo heap. Basta una mail con URL dannoso dove inserire il payload per permettere di eseguire l’exploit al click da parte dell’ignaro operatore.

CVE-2020-16909, Windows Error Reporting Elevation of Privilege Vulnerability, un bug nel componente Windows Error Reporting (WER) che potrebbe essere utilizzato da un utente malintenzionato autenticato per eseguire codice arbitrario con privilegi più elevati.

CVE-2020-16951, CVE-2020-16952, Microsoft SharePoint Remote Code Execution Vulnerability, due difetti critici in SharePoint Server, sfruttano una lacuna nel controllo del markup sorgente di un pacchetto dell’applicazione. L’aggiornamento risolve la vulnerabilità correggendo il modo in cui SharePoint controlla il markup di origine dei pacchetti dell’applicazione.

CVE-2020-16929, CVE-2020-16930, CVE-2020-16931, CVE-2020-16932 | Microsoft Excel Remote Code Execution Vulnerability, esiste una vulnerabilità legata all’esecuzione di codice in modalità remota nel software Microsoft Excel quando il software non riesce a gestire correttamente gli oggetti in memoria. Se l’esecuzione viene effettuata con privilegi di Amministratore, l’attaccante potrebbe operare con privilegi amministrativi assumendo il controllo del sistema interessato.

CVE-2020-16891, Windows Hyper-V Remote Code Execution Vulnerability, questo bug consentirebbe ad un utente malintenzionato di eseguire un programma appositamente predisposto su un sistema guest per eseguire codice arbitrario sul sistema operativo host.

Consigli utili e patching

Anche questo mese abbiamo visto che le criticità risolte con il Tuesday Patch sono tante e diventa sempre più importante seguire una politica di patching costante e organizzata, soprattutto in ambito aziendale.

In ogni caso tenere aggiornati i sistemi garantisce uno strato di sicurezza maggiore e quindi diminuzione del rischio operativo.

Vi ricordo che gli aggiornamenti vengono sempre effettuati tramite canali ufficiali Microsoft:

Al prossimo Patch Tuesday del 10 Novembre.