Proof-of-concept verschijnt voor simpel te misbruiken, al gepatchte Windows-bug

Een beveiligingsonderzoeker heeft een proof-of-concept uitgebracht om een kwetsbaarheid uit te buiten die Microsoft eerder deze maand heeft gepatcht. De bug maakt het mogelijk om op afstand code uit te voeren en krijgt een CVSS-score van 9.8.

De onderzoeker, die zichzelf ynwarcs noemt, heeft de tool op GitHub gezet. Het gaat om een proof-of-concept voor het uitbuiten van een bug die eerder deze maand werd gerepareerd. Dat is CVE-2024-38063, die zowel Windows 10 als Windows 11 treft. Microsoft repareerde die bug enkele weken geleden tijdens de Patch Tuesday-updateronde van augustus.

De kwetsbaarheid krijgt een CVSS-score van 9.8 van de 10, waarmee deze een groot risico vormt voor eindgebruikers. Microsoft zei eerder dat er geen gevallen bekend waren waarbij de bug in de praktijk werd uitgebuit. Nu zegt ynwarcs dat hij een praktische uitbuiting heeft gemaakt, die slachtoffers kan treffen die de updates nog niet hebben geïnstalleerd.

Het gaat volgens de onderzoeker om 'een nogal wankele' poc die mogelijk niet altijd goed werkt, maar in de beschrijving ervan zet ynwarcs uiteen hoe gebruikers de bug praktischer kunnen inzetten. CVE-2024-38063 is een bug waarbij een aanvaller IPv6-packages naar een systeem kan sturen, waarna het mogelijk is op afstand code uit te voeren. De kwetsbaarheid is extra gevaarlijk omdat daarvoor geen gebruikersinteractie nodig is. Een andere, bekende beveiligingsonderzoeker, Marcus Hutchins, schreef eerder deze week al over de bug en merkte toen al op dat die erg makkelijk praktisch uit te buiten was.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 29-08-2024 19:09 36

29-08-2024 • 19:09

36

Lees meer

Microsoft dicht vier zerodays op Patch Tuesday, waarvan twee actief misbruikt
Microsoft dicht vier zerodays op Patch Tuesday, waarvan twee actief misbruikt Nieuws van 13 november 2024
Microsoft dicht vier zerodays, waarvan twee al actief misbruikt werden
Microsoft dicht vier zerodays, waarvan twee al actief misbruikt werden Nieuws van 10 oktober 2024
Kaspersky: Android-malware Necro besmette sommige apps in Google Play Store
Kaspersky: Android-malware Necro besmette sommige apps in Google Play Store Nieuws van 24 september 2024
Microsoft verhelpt vier actief misbruikte zerodays tijdens Patch Tuesday
Microsoft verhelpt vier actief misbruikte zerodays tijdens Patch Tuesday Nieuws van 11 september 2024
Nieuwe Mirai-variant infecteert verouderde IP-camera's
Nieuwe Mirai-variant infecteert verouderde IP-camera's Nieuws van 3 september 2024
Microsoft: verwijderoptie voor Recall in testversie Windows 11 is een bug
Microsoft: verwijderoptie voor Recall in testversie Windows 11 is een bug Nieuws van 2 september 2024
Linux-dualboot kan problemen ondervinden na Windows-update
Linux-dualboot kan problemen ondervinden na Windows-update Nieuws van 22 augustus 2024
Microsoft repareert tien zerodays tijdens Patch Tuesday, waarvan zes misbruikte
Microsoft repareert tien zerodays tijdens Patch Tuesday, waarvan zes misbruikte Nieuws van 14 augustus 2024
Fout in Windows-beveiligingsupdate stuurt gebruiker naar BitLocker-herstelscherm
Fout in Windows-beveiligingsupdate stuurt gebruiker naar BitLocker-herstelscherm Nieuws van 25 juli 2024
Windows 10-update maakt Copilot losstaande app in plaats van widget
Windows 10-update maakt Copilot losstaande app in plaats van widget Nieuws van 11 juli 2024
Microsoft repareert preview-bug waardoor systemen in bootloop kwamen
Microsoft repareert preview-bug waardoor systemen in bootloop kwamen Nieuws van 11 juli 2024
CISA waarschuwt voor misbruik van Windows-lek bij ransomwareaanvallen
CISA waarschuwt voor misbruik van Windows-lek bij ransomwareaanvallen Nieuws van 14 juni 2024
Meer producten en artikelen
Beveiliging en antivirus Microsoft Windows Malware

Reacties (36)

-Moderatie-faq
36
35
24
1
0
5
Wijzig sortering
wildhagen
29 augustus 2024 19:13
Lekker dan. Dan is het te hopen dat de meeste mensen de patch, die nu dus dik 2 weken uit is, inmiddels hebben geïnstalleerd.

De kans is anders vrij groot dat we heel wat slachtoffers gaan zien de komende tijd, gezien de extreme score van 9.8 en het feit dat verbonden zijn met Internet al potentieel voldoende is, dus geen actie van de gebruiker nodig.

[Reactie gewijzigd door wildhagen op 29 augustus 2024 19:28]

Blokker_1999
@wildhagen29 augustus 2024 19:25
Verbonden met het internet is niet helemaal correct uiteraard. Er is geen enkel netwerk dat standaard inkomend verkeer gaat doorsturen naar eindapparaten, ook niet over IPv6 waarmee je een direct routeerbaar internet adres kunt krijgen op je apparaat.

Wel kan het misbruikt worden door
1) een aanvaller op hetzelfde netwerk
2) een aanvaller die reeds op je systeem aanwezig is en op zoek is naar een manier om zijn rechten te verhogen
3) een aanvaller die een internetdienst heeft overgenomen en van daaruit malafide antwoorden kan injecteren in de response van online diensten die jij gebruikt/bezoekt
GertMenkel
@Blokker_199929 augustus 2024 19:34
Dat laatste komt neer op "de hacker heeft een tientje om naar advertentieboeren te gooien". Dat is wel vervelend.

Gelukkig forceert Windows tegenwoordig updates dus zijn de meeste huis-, tuin-, en keukengebruikers al lang beschermd. Voor de rest is er het advies van de Amerikaanse veiligheidsdiensten: klik niet zomaar op links en installeer een adblocker.
Marctraider @Blokker_199930 augustus 2024 12:15
Dus gewoon zorgen voor een veilig lokaal netwerk.
SkiFan @wildhagen29 augustus 2024 19:24
IP6 heeft een immens voordeel; de adresruimte is gigantisch. Het gaat hackers nog niet meevallen om in die immense adresspace systemen te gaan vinden. Een simpel /64 subnet heeft al een address-space van 18,446,744,073,709,551,616 systemen. Succes om daar middels een scan wat te gaan vinden van buiten af.
sircampalot @SkiFan29 augustus 2024 20:30
Het gaat hackers nog niet meevallen ... systemen te gaan vinden
Met masscan scan je binnen een dag het hele internet af.

[Reactie gewijzigd door sircampalot op 29 augustus 2024 20:31]

Bergen @sircampalot30 augustus 2024 00:13
[...]


Met masscan scan je binnen een dag het hele internet af.
Met IPv4 ja. Niet met IPv6. Om je een idee te geven: er zijn 340 * 10^36 IPv6 adressen mogelijk.
Op aarde zijn naar schatting 10^18 zandkorrels, dus elke zandkorrel op aarde kan 340 triljoen adressen krijgen. Veel succes met die scan in één dag.
curkey @Bergen30 augustus 2024 10:01
Toch denk ik dat je met wat statistische analyses een heel stuk verder komt, want de adressen worden niet willekeurig toegekend.

Net als dat je met wachtwoordenkrakers de meest waarschijnlijke combinaties van dingen eerst probeert, zo kun je dat hier ook doen. Hele blokken weet je al, afhankelijk van de provider. Verder is het logisch dat adressen normaal oplopend worden toegekend. Verder kun je wellicht wat serverlogs scrapen van gecompromitteerde systemen om te zien welke hosts ooit eens een connect hebben gedaan.

Dus ja, het is gigantisch veel meer werk dan IPv4, maar je kunt je hitrate behoorlijk vergroten met wat voorwerk.
The Zep Man
@sircampalot29 augustus 2024 21:33
However, with IPv6 scanning, you'll tend to focus on a single target subnet with billions of addresses. Thus, your default behavior will overwhelm the target network. Networks often crash under the load that masscan can generate.
Met die tool gaat het niet lukken om in een dag (of in een leven) alle IPv6-adressen af te gaan.
SkiFan @sircampalot29 augustus 2024 22:45
Niet met IPv6. Daar is de address-space simpelweg veel en veel te groot voor.

De enige manier waarop je hierbij systemen kunt gaan vinden, is als ze zich registeren in een DNS en je dus de hostname weet. Of als de betreffende DNS-server verkeerd geconfigureerd is en zone-transfers toestaat.

Dit is een speld in een miljoen hooibergen zoeken.
The Zep Man
@SkiFan29 augustus 2024 19:28
De meeste serieuze internetverbindingen gebruiken (ook) IPv4. Toch zullen directe aanvallen via het internetverbindingen niet vaak voorkomen. Het is geen Windows XP met Service Pack 1-tijdperk meer.

[Reactie gewijzigd door The Zep Man op 29 augustus 2024 21:32]

SkiFan @The Zep Man29 augustus 2024 22:43
Deze vulnerability was alleen aanwezig bij het gebruik van IPv6.
farlane @SkiFan29 augustus 2024 23:37
Je hoeft ze ook niet te vinden wright, als je een malafide internetdienst opzet die de bug exploit bij clients maak je meer kans.
Skinnyice @wildhagen29 augustus 2024 19:15
Update voor Wannacry was ook al 2 maanden daarvoor uitgebracht. We weten allemaal hoe dat is afgelopen. Ik duim met je mee.
the_stickie @wildhagen29 augustus 2024 19:18
Dat.
Daarnaast hoop ik dat edge security devices en endpoint security sw snel (al?) signaturen hebben voor die crafted packets….
GertMenkel
@wildhagen29 augustus 2024 19:32
Valt mee. Je moet de kernel zover krijgen om een stel IPv6-pakketten te queueen. Sommige drivers doen dat vaker dan andere, maar in bijvoorbeeld een VM komt dat alleen maar voor als de kernel in de debugger gepauzeerd staat.

Het was een kwestie van tijd; de patch was uit, dus kijken wat er veranderd was, was alles dat nodig was om de fix te vinden.

Omdat je hiervoor binnenkomend IPv6-verkeer moet ontvangen, zal het genoeg zijn om een sterk wachtwoord op je WiFi te hebben en misschien een adblocker te installeren om misbruik door malvertisers te voorkomen. Misschien dat in de serverwereld het probleem wat groter is, maar voor de meeste servers staat toch een load balancer die waarschijnlijk Linux draait.

In de praktijk acht ik het risico niet zo hoog. Desondanks is het hoog tijd om de patches te installeren, natuurlijk, de update is al twee weken uit.
Retonator 29 augustus 2024 19:20
Deze PoC voert alleen een denial of service uit het is zeker geen volledige RCE. Dat is helemaal nog niet zo eenvoudig. Je kunt zo wel machines laten crashen.
Mizgala28 29 augustus 2024 19:23
En ik nog maar recent IPV6 eindelijk werkend gekregen thuis.

Alle computers thuis draaien die patch al sinds de release, dus dat is 1 probleem minder hoop ik.
kuurtjes 29 augustus 2024 21:51
Het enigste nieuwswaardige hier is de tijd voordat de PoC online kwam. Voor bijna elke exploit komen er immers wel PoCs uit.
n00bs 29 augustus 2024 19:10
Toch nu fijn bij Odido geen IPv6 verkeer
Blokker_1999
@n00bs29 augustus 2024 19:11
Je moet maar ergens op een publiek netwerk zitten waar een hacker deze exploit op los laat en je hebt het zitten. Gewoon zorgen dat je de update installeert.
n00bs @Blokker_199929 augustus 2024 19:43
Waar lees jij in mijn zin dat ik geen patch installeer of heb geinstalleerd.
Daarbij heb ik een desktop PC en die blijft lekker bedraad staan waar hij staat ;)

Het gaat er simpelweg om dat de beperking van Odido nu gunstig uitpakt.

[Reactie gewijzigd door n00bs op 29 augustus 2024 19:44]

Remzi1993 29 augustus 2024 19:18
Tijd dat MS het gaat versnellen dat ze Rust gebruiken. Ze moeten gewoonweg alles herschrijven in Rust. Windows is gewoon zo lek als een mandje.

MS is net zoals Linux begonnen met het schrijven van nieuwe onderdelen in Rust. Ik stel alleen voor dat ze het gaan versnellen en dat ze kritieke onderdelen ook snel gaan herschrijven in Rust.

[Reactie gewijzigd door Remzi1993 op 30 augustus 2024 11:01]

supersnathan94 @Remzi199329 augustus 2024 22:03
Een andere programmeertaal zorgt er niet voor dat men ineens bug vrije code op gaat leveren.

In rust kun je net zo goed domme dingen doen als in andere talen.
nullbyte @Remzi199330 augustus 2024 00:40
Windows 12 zal wellicht wel in Rust geschreven worden. Het witte huis heeft zelfs een aantal maanden geleden aangegeven dat developers geen talen als C en C++ meer moeten gaan gebruiken maar b.v. op Rust als alternatief over moeten. Veruit de meeste kwetsbaarheden hebben deze oorzaak. Jouw min is onterecht.
Remzi1993 @nullbyte30 augustus 2024 11:05
Volledig herschrijven lijkt mij dat dat tientallen jaren kan duren ook omdat ze voor.bepaalde Windows onderdelen de code nietmeer hebben. Er zitten stukjes software die er al 30 jaar in zit waar niemand aan heeft gewerkt voor een lange tijd en waar steeds omheen gewerkt wordt of de API's gebruikt wordt.

Ik denk dat dit in stappen gaat gebeuren. Zoals eerst nieuwe features en functionaliteiten in RUST schrijven en dan langzaam kritieke onderdelen van Windows en dan langzaam de rest.

Dit is een operatie die een lange tijd gaat duren, vooral omdat het niet winstgevend is om dit in 1 keer snel te doen. Ook moeten meer programmeurs eerst Rust leren en dat duurt ook een tijd. Kortom het kan best lang duren voordat alles Rust is.
EValentino 29 augustus 2024 19:12
Ik moest de titel echt 4x lezen voordat ik hem begreep :)
robvh99 @EValentino29 augustus 2024 20:04
Zelfde hier.
Ik dacht in eerste instantie dat de hack nog steeds mogelijk was ondanks de patch.
Deltafox @robvh9929 augustus 2024 20:13
Inderdaad dat dacht ik ook
supersnathan94 @xenn9929 augustus 2024 22:02
Een PoC voor iets wat al gepatched is, is helemaal niet nuttig voor mensen die er misbruik van willen maken. Het lek is immers al gepatched. Nu is de timing wel vlot hoor. Had wat mij betreft nog wel een week of twee tussen gemogen. Neemt niet weg dat dit vooral interessant is voor verder onderzoek.
xenn99 @supersnathan9430 augustus 2024 05:40
Als iedereen netjes zijn updates draaide dan had je inderdaad gelijk, maar helaas is dat niet de realiteit.
Kijk naar bijvoorbeeld de heartbleed exploit destijds.. Jaren later waren er nog steeds inbraken bij bedrijven die hun updates niet hadden gedraaid.

Een week of 2 extra is mij dan ook veel te kort, en om eerlijk te zijn zie ik eigenlijk sowieso niet in wat het nut is van het publiek publiceren van dit soort "onderzoek" maar als je dat dan doet doe het dan een lange tijd later.
Remzi1993 @xenn9930 augustus 2024 11:09
Een week of 2 extra is mij dan ook veel te kort, en om eerlijk te zijn zie ik eigenlijk sowieso niet in wat het nut is van het publiek publiceren van dit soort "onderzoek" maar als je dat dan doet doe het dan een lange tijd later.
Probleem is dat andere mensen zoals blackhat hackers dus niet wachten. Dan kan je beter als white hate hacker het publiek inlichten anders neemt niemand het serieus.

Een pijnlijke dillema maar moet toch gebeuren om mensen te laten hier hoe het misbruikt kan worden.
xenn99 @Remzi199330 augustus 2024 12:42
Natuurlijk wachten black hat hackers niet, maar dat maakt in dit verhaal ook verder helemaal niet uit.
Het was al bekend dat er een lek was, en wat er met dat lek gedaan kon worden.
Het probleem is dat met een kant en klare tool als deze een hele hoop minder bekwame mensen nu een makkelijk te volgen plan hebben om misbruik te maken van deze exploit.

In mijn ogen heeft het posten van een tool als deze geen enkele nuttige toevoegingen op de veiligheid, in tegendeel.

Blijkbaar ben ik hier in de minderheid, maar ik vind deze man gewoon een boef.
supersnathan94 @xenn9930 augustus 2024 15:05
Voor zover ik weet moeten windows 11 updates binnen 30 dagen geïnstalleerd zijn en kun je daar ook als IT admin gewoon erg weinig aan doen. Dus vandaar dat ik die twee weken extra pakte.

Punt is nu juist weer wel dat je hier nu dus onderzoek naar wil doen of het is opgelost en niet pas over een jaar, want dan kan het of per ongeluk opgelost zijn of wel netjes gefixed, of het is nog steeds stuk en we hebben een jaar lang allerlei issues gehad hierdoor.
xenn99 @supersnathan9430 augustus 2024 20:44
Windows updates die je via het internet binnenhaalt kun je standaard 30 dagen uitstellen, maar handmatig kan dat natuurlijk veel langer.
Bedrijven updaten normaliter niet via het internet dus daar gaat dat niet op, dan ligt het er maar net aan wanneer de systeembeheerder die update beschikbaar maakt via het lokale intranet.

Het onderzoek is het probleem niet, het publiceren van de tool wel.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq