In den letzten Tagen wurde eine kritische Sicherheitsanfälligkeit von Windows-Systemen bekannt, welche allein durch das Senden speziell präparierter IPv6-Netzwerkpakete an solche Systeme die Ausführung von Schadcode ermöglichen könnte (CVE-2024-38063). Betroffen sind sämtliche Windows-Versionen.
Die Schwachstelle wurde vom Hersteller mit dem aktuellen kumulativem Monatsupdate (August 2024) geschlossen.
Erforderliche Maßnahmen
- Stellen Sie sicher, dass sich ihre Windows-Systeme bzgl. Sicherheitsaktualisierungen auf aktuellem Stand befinden (mindestens „August 2024”). Dies schützt vor dieser und zahlreichen weiteren kritischen Sicherheitslücken.
- Nehmen Sie Systeme mit veralteten Windows-Versionen (älter als Windows 10 bzw. Windows Server 2016) außer Betrieb.
Sollten die Maßnahmen im Einzelfall nicht sofort umsetzbar sein, dann betreiben Sie die Systeme nur ohne Netzwerkkonnektivität oder deaktivieren Sie zumindest die Unterstützung von IPv6. Die Unterstützung von IPv6 kann wie folgt deaktiviert werden (in einer als Administrator gestarteten Eingabeaufforderung):
reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters /v DisabledComponents /t REG_DWORD /d 255
Diese Änderung wird erst nach einem Neustart aktiv. Durch die Verwendung des Wertes 0 statt 255 kann die Deaktivierung rückgängig gemacht werden.
Weiterführende technische Hinweise:
- Auf Systemen im W10SELFADM-Dienst des URZ ist die Unterstützung von IPv6 im Windows bereits bei der Auslieferung standardmäßig deaktiviert.
- Mittels der im Windows integrierten Firewall ist kein Schutz vor Ausnutzung dieser Sicherheitslücke möglich.
- Im Campusnetz wird in den meisten Fällen derzeit keine öffentliche IPv6-Adresse zugewiesen. Solche Windows-Systeme sind aber möglicherweise dennoch über die IPv6-Link-Local-Adressen aus dem gleichen Subnetz heraus angreifbar.
- Eigenständig durchgeführte Neuinstallationen von Windows sind bis zur Aktualisierung auf den aktuellen Stand angreifbar. Aktualisierte Datenträger mit Stand August 2024 oder neuer stehen derzeit seitens des Herstellers nicht zur Verfügung. Es ist aber beispielsweise möglich, Neuinstallationen ohne Netzwerkkonnektivität durchzuführen und das entsprechende Update manuell offline zu installieren. Die Updates können zuvor anderweitig aus dem Microsoft Update-Katalog heruntergeladen werden, erforderlich sind mindestens folgende Stände (oder neuer):
- Windows 10, Version 22H2: KB5041580 (OS Build 19045.4780)
- Windows 11, Version 21H2: KB5041592 (OS Build 22000.3147)
- Windows 11, Version 22H2: KB5041585 (OS Build 22621.4037)
- Windows 11, Version 23H2: KB5041585 (OS Build 22631.4037)
- Windows 11, Version 24H2: KB5041571 (OS Build 26100.1457)
- Windows 10 Enterprise 2015 LTSB: KB5041782 (OS Build 10240.20751)
- Windows 10 Enterprise 2016 LTSB: KB5041773 (OS Build 14393.7259)
- Windows 10 Enterprise LTSC 2019: KB5041578 (OS Build 17763.6189)
- Windows 10 Enterprise LTSC 2021: KB5041580 (OS Build 19044.4780)
- Windows Server 2016: KB5041773 (OS Build 14393.7259)
- Windows Server 2019: KB5041578 (OS Build 17763.6189)
- Windows Server 2022: KB5041160 (OS Build 20348.2655)
Wenden Sie sich bei Fragen gern an unsere Support-Adresse.
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.