Bad Neighbor: Vulnerabilidad crítica en el stack TCP/IP que podría permitir ejecución de código remoto

Entre las 87 vulnerabilidades resueltas en el Patch Tuesday de octubre de este año, destaca CVE-2020-16898 (identificada como Bad Neighbor), la cual que tiene su origen en el stack de TCP/IP y podría causar la ejecución de código remoto sobre un objetivo vulnerable.

 

La explotación exitosa de esta vulnerabilidad (crítica y con una puntuación base CVSSv3 de 9.8) se da a partir de una manipulación erronea de paquetes RA (Router Advertisement) ICMPv6. Mediante el envío de paquetes diseñado de una manera particular, un atacante podría explotar la vulnerabilidad sobre un equipo remoto y llegar a la ejecución de código remoto.

 

Vale la pena mencionar que este tipo de vulnerabilidad, las de ejecución de código remoto, suelen ser sobre las que se enfocan la mayoría de los esfuerzos de los cibercriminales por incorporarlas a una pieza de malware de manera “wormeable”, es decir, que luego el malware vaya propagándose por el resto de los equipos de la red.

 

Microsoft ha disponibilizado parches para Windows 10, Windows Server 2019 y Windows Server Core 1903/1909/2004, que pueden ser descargados desde su Security Update Guide. Adicionalmente, han presentado un workaround que consiste en deshabilitar el ICMPv6 RDNSS (Recursive DNS Server) con el siguiente comando de PowerShell:

 

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

 

Una vez se desee volver a habilitarle, se debe ejecutar este otro comando:

 

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable

 

Nota: Ninguno de los cambios requiere un reinicio para tomar efecto.

 

Si bien de momento no hay código de poc de un exploit, Microsoft sí ha realizado uno que resulta en un pantallazo azul (BSoD) inmediato sobre los equipos vulnerables. Aún así, ya hay casos de gente que no solo se encuentra haciendo ingeniería reversa sobre el exploit de Microsoft, sino intentando replicar el mismo. Por lo que sólo es cuestión de tiempo para que aparezcan exploits maliciosos y Bad Neighbor comience a ser explotada de forma activa.