Origine: bjCSIRT
Numéro: 2021/ALERTE/005
Date de l’alerte: 23/02/2021
APERÇU :
Les vulnérabilités libellées CVE-2021-24074 et CVE-2021-24094 permettant l’exécution de code à distance et la vulnérabilité libellée CVE-2021-24086 permettant un déni de service, sont des failles critiques affectant l’implémentation du protocole TCP/IP sous Windows.
DESCRIPTION :
La création d’exploits fonctionnels pour les vulnérabilités d’exécution de code à distance (CVE-2021-24074 et CVE-2021-24094) s’avère peu probable à court terme en raison de la complexité des deux vulnérabilités. Par contre, l’exploitation de la vulnérabilité libellée CVE-2021-24086 se montre plus simple que les deux dernières.
Les exploits de déni de service pour la vulnérabilité libellée CVE-2021-24086 permettraient à un attaquant distant de provoquer une erreur d’arrêt Windows. Les différents utilisateurs pourraient recevoir un écran bleu sur tout système Windows qui est directement exposé à internet avec un trafic réseau minimal.
Il est essentiel que les clients appliquent les mises à jour de Windows pour remédier à ces vulnérabilités le plus rapidement possible. Ces trois vulnérabilités sont uniques et nécessitent l’application de solutions de contournement distinctes en fonction de l’exposition du système affecté.
Certaines solutions de contournements existent pour la vulnérabilité de déni de service (CVE-2021-24086) qui ne nécessitent pas le redémarrage du système concerné :
- Définir la limite de réassemblage globale sur 0
La commande ci-dessous permet de désactiver le réassemblage de paquets. Ainsi, tous les paquets incorrects seront ignorés. Il est recommandé d’effectuer des tests avant de procéder à l’application sur des systèmes de production.
« netsh int ipv6 set global reassemblylimit=0 ».
Avec cette solution de contournement, il y a un risque de perte de paquets car les paquets incorrects sont ignorés. Pour annuler la mesure de contournement, il faut rétablir la valeur par défaut (267748640) en utilisant la commande suivante :
« netsh int ipv6 set global reassemblylimit=267748640 »
- Configurer le pare-feu ou les équilibreurs de chargepour qu’ils interdisent la fragmentation UDP IPv6.
IMPACT :
- CVE-2021-24074 et CVE-2021-24094: Exécution de code à distance sur la machine affectée.
- CVE-2021-24086: Déni de service sur la machine affectée.
SYSTEMES AFFECTÉS :
Tous les systèmes Microsoft Windows ne disposant pas des mises à jour de sécurité de février 2021.
MESURES À PRENDRE :
Malgré l’existence de mesures de contournement, il est fortement recommandé d’appliquer les mises à jour de sécurité.
REFERENCES :
- https://msrc-blog.microsoft.com/2021/02/09/multiple-security-updates-affecting-tcp-ip/
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24086
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24074
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24094