Microsoft đã đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong giao thức TCP/IP, có khả năng cho phép thực thi mã từ xa (RCE).
Lỗ hổng bảo mật RCE nghiêm trọng này ảnh hưởng đến tất cả các hệ thống Windows có kích hoạt IPv6, một tính năng mặc định trên hệ điều hành này.
Lỗ hổng bảo mật được phát hiện bởi XiaoWei của Kunlun Lab và được định danh là CVE-2024-38063, xuất phát từ điểm yếu về số nguyên bị tràn (Integer Underflow). Kẻ tấn công có thể lợi dụng lỗ hổng này để kích hoạt tràn bộ đệm, dẫn đến việc thực thi mã tùy ý trên các hệ thống Windows 10, Windows 11 và Windows Server.
Nhà nghiên cứu bảo mật đã chia sẻ trên Twitter rằng chi tiết cụ thể về lỗ hổng sẽ chưa được công bố ngay do mức độ nguy hiểm của nó. Hơn nữa, việc chặn IPv6 trên tường lửa của Windows không thể ngăn chặn các cuộc tấn công, vì lỗ hổng này được khai thác trước khi dữ liệu đến tường lửa.
Theo Microsoft, kẻ tấn công không cần xác thực cũng có thể khai thác lỗ hổng này từ xa bằng cách liên tục gửi các gói tin IPv6 được tạo đặc biệt để tấn công.
Microsoft đã đánh giá lỗ hổng này có mức độ “khả năng khai thác cao,” cho thấy khả năng cao kẻ tấn công có thể phát triển mã khai thác để thực hiện các cuộc tấn công. Do đó, người dùng được khuyến cáo nên ưu tiên cài đặt các bản vá bảo mật mới nhất để bảo vệ hệ thống của mình.
Đối với những người không thể cập nhật ngay lập tức, Microsoft đề xuất tạm thời vô hiệu hóa IPv6 để giảm nguy cơ bị tấn công. Tuy nhiên, cần lưu ý rằng việc tắt IPv6 có thể ảnh hưởng đến hoạt động của một số thành phần trong Windows, vì giao thức này là một phần bắt buộc của hệ điều hành từ Windows Vista và Windows Server 2008 trở đi.
Dustin Childs, Giám đốc Nhận Thức Mối Đe Dọa tại Zero Day Initiative của Trend Micro, cũng nhận định rằng CVE-2024-38063 là một trong những lỗ hổng nghiêm trọng nhất được Microsoft sửa chữa trong bản cập nhật Patch Tuesday lần này, và nó có khả năng lây lan rộng.
“Lỗ hổng TCP/IP này cho phép kẻ tấn công từ xa, không cần xác thực, thực thi mã với quyền cao chỉ bằng cách gửi các gói tin IPv6 được tạo đặc biệt đến mục tiêu,” ông Childs nói. “Điều này có nghĩa là nó có khả năng lây lan như sâu máy tính. Mặc dù bạn có thể vô hiệu hóa IPv6 để ngăn chặn khai thác, nhưng IPv6 lại được bật mặc định trên hầu hết mọi hệ thống.”
Dù chưa có báo cáo về việc lỗ hổng này bị khai thác rộng rãi, Microsoft vẫn khuyến cáo người dùng nên cập nhật ngay các bản vá bảo mật tháng này để tránh các cuộc tấn công tiềm tàng.