Baru-baru ini, Microsoft memperingatkan para pengguna sistem operasi berlogo jendela ini untuk menambal kerentanan remote code execution (RCE) TCP/IP yang kritis dengan peningkatan kemungkinan eksploitasi yang memengaruhi semua sistem Windows yang menggunakan IPv6, yang diaktifkan secara default.

Ditemukan oleh XiaoWei dari Kunlun Lab  dan dilacak sebagai CVE-2024-38063 , bug keamanan ini disebabkan oleh kelemahan Integer Underflow, yang dapat dimanfaatkan attacker untuk memicu buffer overflows yang dapat digunakan untuk mengeksekusi arbitrary code pada sistem Windows 10, Windows 11, dan Windows Server yang rentan.

"Mengingat bahayanya, saya tidak akan mengungkapkan rincian lebih lanjut dalam jangka pendek," cuit peneliti keamanan itu , seraya menambahkan bahwa memblokir IPv6 pada firewall Windows lokal tidak akan memblokir eksploitasi karena kerentanan dipicu sebelum diproses oleh firewall.

Seperti yang dijelaskan Microsoft dalam keterangannya, attacker yang tidak diautentikasi dapat mengeksploitasi kelemahan tersebut secara remote dalam serangan dengan tingkat kompleksitas yang rendah dengan berulang kali mengirimkan paket IPv6 yang menyertakan paket yang dibuat khusus.

Microsoft juga membagikan penilaian eksploitasinya terhadap kerentanan kritis ini, menandainya dengan label "exploitation more likely", yang berarti bahwa attacker dapat membuat kode eksploitasi untuk "secara konsisten mengeksploitasi kelemahan dalam serangan."

"Selain itu, Microsoft menyadari adanya contoh-contoh sebelumnya tentang jenis kerentanan ini yang dieksploitasi. Ini akan menjadikannya target yang menarik bagi para attacker dan karenanya lebih mungkin bahwa eksploitasi dapat dilakukan," jelas Redmond .

"Oleh karena itu, para pengguna sistem operasi berlogo jendela yang telah meninjau pembaruan keamanan dan menentukan penerapannya dalam lingkungan mereka harus memperlakukannya dengan prioritas lebih tinggi."

Sebagai tindakan mitigasi bagi mereka yang tidak dapat segera menginstal pembaruan keamanan Windows, Microsoft menyarankan untuk menonaktifkan IPv6 untuk menghilangkan attack surface.

Namun, di situs web supportnya microsoft , perusahaan tersebut mengatakan "the IPv6 network protocol stack" adalah "bagian wajib dari Windows Vista dan Windows Server 2008 dan versi yang lebih baru" dan tidak menyarankan untuk menonaktifkan IPv6 atau komponennya karena hal ini dapat menyebabkan beberapa komponen Windows berhenti berfungsi.

Kerentanan yang dapat diserang "Worm"
Kepala Bidang Threat Awareness di Zero Day Initiative Trend Micro, Dustin Childs, juga menyebut bug CVE-2024-38063 sebagai salah satu kerentanan paling parah yang diperbaiki Microsoft pada Patching kali ini, menandainya sebagai kelemahan yang dapat ditembus virus.

"Yang terburuk kemungkinan adalah bug pada TCP/IP yang memungkinkan attacker secara remote yang tidak terotentikasi untuk mendapatkan peningkatan eksekusi kode hanya dengan mengirimkan paket IPv6 yang dibuat khusus ke target yang affected," kata Childs.

"Itu artinya bisa disusupi. Anda dapat menonaktifkan IPv6 untuk mencegah eksploitasi ini, tetapi IPv6 diaktifkan secara default pada hampir semua hal."

Sementara Microsoft dan perusahaan lain memperingatkan pengguna Windows untuk menambal sistem mereka sesegera mungkin untuk memblokir serangan potensial menggunakan eksploitasi CVE-2024-38063, ini bukan yang pertama dan mungkin tidak akan menjadi kerentanan Windows terakhir yang dapat dieksploitasi menggunakan paket IPv6.

Selama empat tahun terakhir, Microsoft telah menambal beberapa masalah IPv6 lainnya, termasuk dua kelemahan TCP/IP yang dilacak sebagai CVE-2020-16898 / 9  (juga disebut Ping of Death), yang dapat dieksploitasi dalam remote code execution (RCE) dan serangan penolakan layanan (DoS) menggunakan paket Iklan Router ICMPv6 yang berbahaya.

Selain itu,  bug fragmentasi IPv6 ( CVE-2021-24086 ) membuat semua versi Windows rentan terhadap serangan DoS, dan kelemahan DHCPv6 ( CVE-2023-28231 )  memungkinkan untuk mendapatkan RCE dengan panggilan yang dibuat khusus.

Meskipun attacker mengeksploitasinya dalam serangan meluas yang menargetkan semua perangkat Windows yang mendukung IPv6, pengguna tetap disarankan untuk segera menerapkan  Windows security updates bulan ini karena meningkatnya kemungkinan eksploitasi CVE-2024-38063.

Jadi tunggu apalagi, segera perbaiki "Jendela" anda.(BSSA-MF)