Home > News > Microsoft Windows TCP/IP V6 Remote Code Execution Vulnerability

Microsoft Windows TCP/IP V6 Remote Code Execution Vulnerability

Ein unter dem CVE-2020-16898 mit dem Titel Windows TCP/IP Remote Code Execution Vulnerability ist ein gravierendes Security Leak in der IPV6 Implementierung von Windows dokumentiert worden.

Es ist möglich mit Hilfe eines ICMPv6 Router Advertisement packets einen beliebigen Code auf allen aktuellen Windows Betriebssystemen auszuführen (Windows 10, Windows Server 2019, etc.).

Aktuell - mit Stand 13. Oktober 2020 - gibt es seitens Microsoft noch keinen Patch, sondern nur Workarounds.

Workarounds

Disable ICMPv6 RDNSS

Microsoft beschreibt die Möglichkeit, dass man mit Hilfe der Power Shell - ein Windows 10 1709 oder neuer - einfach ICMPv6 RDNSS deaktiviert. Dies geht mittels folgendem Befehl - PRO INTERFACE!

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

Zumindest muss man dann nicht booten und die Einstellung überlebt auch einen Reboot. Bitte nicht vergessen, wenn ein neues Interface hinzugefügt wird, dort ebenfalls zu deaktivieren. Einschalten geht indem man den gleichen Befehl mit enable absetzt.

Hier ein Beispiel wie man nachsehen und ändern kann

netsh int ipv6 show int

Idx    Met        MTU          State                Name
---  ----------  ----------  ------------  ---------------------------
 1          75  4294967295  connected      Loopback Pseudo-Interface 1
14          50        1500  connected      Wi-Fi
17          25        1500  disconnected   Local Area Connection* 1
12          25        1500  disconnected   Local Area Connection* 2
25          35        1500  disconnected   Ethernet 3
15          35        1500  disconnected   Ethernet 2
28          20        1400  disconnected   Ethernet 7
 9          65        1500  disconnected   Bluetooth Network Connection

netsh int ipv6 show int 1 | findstr /r /i 6106
RA Based DNS Config (RFC 6106)    : enable

netsh int ipv6 set int int=1 rabaseddnsconfig=disable
Ok.

netsh int ipv6 show int 1 | findstr /r /i 6106
RA Based DNS Config (RFC 6106)    : disabled

IPV6 von den Netzwerkinterfaces dekonfiguieren

Alternativ kann man auch bei allen Interfaces einfach IPV6 deaktivieren, sofern man IPV6 nicht nutzt.

Update 14. Oktober 18:00

Es gab ein Upgrade im Microsoft Artikel, mit Links auf die aktuellen Security Patches, allerdings ist auf Grund der Beschreibung nicht klar, ob das Problem behoben ist. Wir empfehlen trotzdem einen der Workarounds zum Implementieren.