Relatório: Vulnerabilidade Windows, o CVE-2020-16898

Sumário executivo

Essa vulnerabilidade reside na pilha TCP / IP do Windows que é responsável pelo tratamento de pacotes RA. A exploração atual leva a uma negação de serviço (DoS) com a possibilidade de execução remota de código.

Esta vulnerabilidade afeta várias versões do Windows que oferecem suporte a IPv6 RDNSS, que foi adicionado ao Windows a partir do Windows 10, versão 1709.

Ações de mitigação para CVE-2020-16898

Como sempre, recomendamos que nossos clientes consertem seus sistemas o mais rápido possível. Até que um patch possa ser aplicado, a Microsoft publicou orientações que podem ser usadas para atenuar essa vulnerabilidade. Para ajudar a esclarecer as orientações que a Microsoft publicou, descrevemos as etapas que devem ser seguidas para desabilitar o RDNSS IPv6.

Em um prompt de comando de privilégios elevados (como Administrador), execute o seguinte comando:

uma. Netsh int ipv6 sh int
Este comando fornecerá uma lista de todas as interfaces de rede IPv6 com os números de índice correspondentes. Exemplo de saída:

Imagem 1. Saída do comando netsh.

b . Para cada número Idx, execute o comando netsh int ipv6 set int Número Idx rabaseddnsconfig = desative a substituição do número Idx pelo número Idx listado na etapa a. Isso desativará o recurso RDNSS para cada interface, atenuando a vulnerabilidade.

c. Para verificar se o RDNSS está desabilitado, emita o seguinte comando para cada um dos números Idx listados: netsh int ipv6 sh int Idx number . Este comando irá gerar os parâmetros para a interface desejada. Exemplo de saída:

Imagem 2. Saída do comando netsh verificando o valor RDNSS.

* RA Based DNS Config (RFC 6106) deve ser desabilitado para cada interface.

Conclusão

A assinatura de segurança fornecida pela nuvem do Threat Prevention da Palo Alto Networks fornece proteção contra a exploração desta vulnerabilidade:

Os clientes do Firewall de última geração com uma assinatura do Threat Prevention e as práticas recomendadas que seguem estão protegidos contra a exploração desta vulnerabilidade. O ID de ameaça relevante é 59240 e foi lançado com a versão 8330 de atualização de aplicativos e conteúdo de ameaças.

Os clientes do Cortex XDR Pro podem aproveitar a capacidade de execução de script para implantar a solução alternativa publicada pela Microsoft em seus ambientes gerenciados.

A Palo Alto Networks atualizará este Resumo da Ameaça com novas informações e recomendações assim que estiverem disponíveis.

Fonte: https://unit42.paloaltonetworks.com/cve-2020-16898/

Ninja

Na cena de cybersecurity a mais de 25 anos, Ninja trabalha como evangelizador de segurança da informação no Brasil. Preocupado com a conscientização de segurança cibernética, a ideia inicial é conseguir expor um pouco para o publico Brasileiro do que acontece no mundo.