CVE-2024-38063: scoperta una grave vulnerabilità zero-click su Microsoft Windows

Una vulnerabilità zero-click espone gli utenti Windows ad attacchi di tipo RCE.

Nella giornata del 12 agosto 2024 è stata scoperta una pericolosa vulnerabilità intrinseca ai sistemi operativi Windows.
Questa è stata classificata con criticità pari a 9.8/10 secondo la scala CVSS3, uno dei valori più alti mai registrati sin dalla sua adozione. La vulnerabilità, rinominata CVE-2024-38063, può essere sfruttata dagli attori malevoli per causare un buffer overflow nel sistema operativo. Ciò avviene mediante il protocollo TCP/IP con IPv6 e spalanca le porte ad un attacco di tipo RCE (Remote Code Execution).

vulnerabilità zero click microsoft windows

Tale vulnerabilità è stata portata alla luce da un ricercatore ed esperto di sicurezza informatica di Kunlun Lab.
Costui, celatosi dietro lo pseudonimo di XiaoWei, ha osservato che questa viene attivata tramite l’invio di un gran numero di pacchetti IPv6 da remoto, in modo da triggerare l’overflow nel sistema.

Inoltre, il blocco degli IPv6 attraverso un firewall non mitiga in alcun modo i danni, poiché i pacchetti sono elaborati ben prima che passino al suo vaglio.

Dettagli tecnici della vulnerabilità
La risposta di Microsoft
Best practice per la mitigazione dei danni da CVE-2024-38063

Dettagli tecnici della vulnerabilità

Dal punto di vista tecnico CVE-2024-38063 è una vulnerabilità zero-click, che sfrutta pacchetti IPv6 creati ad hoc per innescare un buffer overflow nel protocollo TCP/IP. Questo si realizza con una serie di integer overflow, ovvero i valori memorizzati all’interno di un array di bit subiscono variazioni significative a seguito di addizioni non previste.

Alcuni valori negativi diventano positivi, o interi senza segno si trovano coinvolti nel processo di addizione, causando repentini cambi di valore all’interno dell’array. La mutazione repentina dei valori dei singoli bit causa di conseguenza il buffer overflow, che porta il sistema ad andare in eccezione, permettendo così agli attori malevoli di sfruttare la vulnerabilità ed eseguire da remoto il loro codice.

I sistemi operativi interessati da questa sono:

Windows 10
Windows 11
la famiglia Windows Server.

Ciò la rende molto appetibile e facilmente wormable, poiché si comporta alla stregua di un worm.
Il termine non è stato usato casualmente, poiché essa può essere diffusa tra i sistemi connessi alla stessa rete senza alcuna interazione utente. In virtù di questa sua natura, è stata definita una delle vulnerabilità più gravi mai osservate in un sistema operativo prodotto da Microsoft.

La situazione è stata resa peggiore dalla struttura stessa del kernel di Windows, in cui l’IPv6 è attivato di default.
La sua disattivazione comporta serie ripercussioni sulle performance del sistema operativo nel momento in cui si opera in rete. Sebbene alla data di pubblicazione di questo articolo non siano stati ancora osservati casi di messa in atto di un attacco del genere, resta il timore che possa concretizzarsi presto. Questo perché la manipolazione dei pacchetti IP è molto semplice, permettendo anche ai meno esperti di sfruttare la vulnerabilità e realizzare un’exploit da remoto di un sistema.

L’impatto della vulnerabilità CVE-2024-38063 è severo, in quanto l’esecuzione remota di codice finisce per causare ingenti danni sia in termini di privacy, che economici. Un attacco basato su RCE comporta nel dettaglio:

L’accesso non autorizzato agli attori malevoli ai dati sensibili memorizzati su un sistema vulnerabile;
Interruzione improvvisa dell’operatività di sistema;
Installazione di software malevolo e apertura a ulteriori vulnerabilità.

La risposta di Microsoft

Attraverso un comunicato ufficiale, diramato in data 13 agosto 2024, Microsoft ha spiegato la propria posizione a riguardo. La compagnia ha dichiarato che vulnerabilità simili sono state segnalate e risolte molto spesso in passato, spingendo così il Microsoft Security Response Center a intervenire prontamente su CVE-2024-38063. L’intervento ha dato i suoi frutti, in quanto un aggiornamento cumulativo è stato rilasciato proprio in occasione del Patch Tuesday di agosto 2024.

Tale aggiornamento, nome in codice KB5041585, si è rivelato tempestivo, poiché è andato a correggere in parte la vulnerabilità, intervenendo direttamente sulla sicurezza IPv6. La patch correttiva è disponibile al download per i sistemi:

Windows 11 23H2
Windows 11 22H2
Windows 11 21H2
Windows 10 22H2
Windows 10 21H2
Windows 10 1809
Windows Server 2022 23H2
Windows Server 2019
Windows Server 2012 R2
Windows Server 2008

Si deve anche evidenziare la presenza di questo aggiornamento cumulativo anche per Windows 11 24H2, ancora non rilasciato in via ufficiale da Microsoft al pubblico. La casa di Redmond, interrogata sulla questione, ha espresso la sua volontà di integrare nativamente la patch di sicurezza nella futura release. Questo a causa della presenza del loro componente AI Copilot+, già disponibile pubblicamente su alcuni dispositivi che sfruttano nativamente l’IPv6 per le funzioni di rete.

Best practice per la mitigazione dei danni da CVE-2024-38063

Poiché la vulnerabilità prende di mira l’IPv6 presente in Windows, si deve necessariamente intervenire direttamente sullo stesso. A questo devono tuttavia aggiungersi ulteriori misure cautelari, proprio per cercare di essere quanto più protetti possibile.
Di seguito sono riportate una serie di soluzioni per prevenire possibili danni da CVE-2024-38063.

Disabilitare IPv6

La disabilitazione di IPv6 deve essere presa in considerazione se e solo se non è necessario al proprio ambiente di lavoro.
Questo, secondo le dichiarazioni di Microsoft, permetterebbe di ridurre la possibilità di divenire bersagli di questo attacco.

Implementare una soluzione di monitoraggio e risposta efficace

Con l’implementazione di una soluzione di monitoraggio, è possibile individuare sin da subito pacchetti IPv6 sospetti, o non autorizzati.
Ciò permette di bloccare il traffico di rete malevolo e rispondere direttamente ai tentativi di exploit.

Aggiornare sempre e costantemente i protocolli di sicurezza e i sistemi operativi in uso

Ci si deve assicurare che la propria organizzazione e i clienti ad essa associati adottino robuste politiche di sicurezza.
Tutti i sistemi, l’hardware e i software in uso devono essere costantemente aggiornati con puntualità. Ciò riduce di molto le possibilità di un’infezione da ransomware.

In conclusione, l’emergere di questa vulnerabilità rappresenta un precedente pericoloso per la compagnia di Redmond. Poiché Windows è il sistema operativo più diffuso e utilizzato a livello mondiale, una vulnerabilità al suo interno di questa portata, dimostra che il monopolio del mercato non può e non deve essere riposto nelle mani di un singolo ente.

Comprendere le best practices per la propria sicurezza online e rimanere costantemente aggiornati sulle minacce che vengono scoperte su base giornaliera, è il primo passo da compiere se si vuole davvero sentirsi protetti nel mondo digitale. Tuttavia, non dobbiamo smettere di chiedere alle big tech del settore soluzioni di sviluppo e controlli qualità migliori rispetto a quanto è offerto oggi.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.