Esta vulnerabilidad de ejecución remota de código (RCE) afecta a todos los sistemas Windows con IPv6 habilitado, lo que la convierte en una amenaza potencial para millones de dispositivos en todo el mundo.
La Ejecución Arbitraria de Código (RCE) es una vulnerabilidad en la que un atacante puede ejecutar comandos o programas maliciosos en un sistema remoto, aprovechando un error en el software. Esto le permite al atacante realizar acciones no autorizadas, como acceder a datos, instalar malware, o incluso tomar el control total del sistema afectado. Esta vulnerabilidad es especialmente grave porque permite al atacante manipular el sistema como si fuera el dueño legítimo.
Descripción de la Vulnerabilidad
Esta vulnerabilidad, descubierta por el investigador XiaoWei de Kunlun Lab, se ha calificado como crítica con una puntuación CVSSv3 de 9,8, y es posible explotarla de manera remota enviando paquetes IPv6 especialmente diseñados contra un objetivo sin necesidad de interactuar con el usuario por lo que se cataloga como una vulnerabilidad de "zero clics".
Este fallo de seguridad está relacionado con un desbordamiento de enteros (Integer Underflow CWE-191) y puede ser explotado por atacantes para desbordar el búfer y ejecutar código arbitrario en sistemas vulnerables de Windows.
Si un atacante logra explotar la vulnerabilidad podría ejecutar código en el sistema objetivo con privilegios de SYSTEM, lo que le permitiría tomar control completo de la máquina comprometida.
Además, la vulnerabilidad está considerada como "wormable (gusano)", lo que implica que podría propagarse de forma automática entre sistemas vulnerables, incrementando significativamente su alcance y daño potencial.
Importancia de la vulnerabilidad
La vulnerabilidad es extremadamente peligrosa ya que permite a los atacantes comprometer un sistema sin interacción del usuario (zero-click), lo que la hace casi indetectable y difícil de prevenir. Además, el código malicioso se ejecuta con privilegios de sistema, dando al atacante control total sobre el dispositivo, permitiéndole instalar malware, robar datos o tomar control remoto. La facilidad de explotación aumenta el riesgo, haciendo esta vulnerabilidad crítica y urgente de corregir para evitar daños significativos.
Prueba de Concepto
En la prueba de concepto (PoC) publicada por el investigador Ynwarcs, se detalla cómo es posible explotar la vulnerabilidad mediante una serie de pasos técnicos. Estos pasos incluyen la manipulación precisa de los paquetes y los campos de cabecera, lo que desencadena un comportamiento inesperado durante el proceso de reensamblaje de paquetes IPv6.
De acuerdo con el investigador, la clave para explotar la vulnerabilidad CVE-2024-38063 radica en provocar un tiempo de espera durante el reensamblaje de los paquetes IPv6. Esto resulta en un desbordamiento de enteros, seguido de un desbordamiento de búfer.
Un breve esquema de cómo se explota esta vulnerabilidad podría ser el siguiente:
- Paquete IPv6 manipulado: Un atacante crea un paquete IPv6 malicioso que contiene código ejecutable. Este paquete está diseñado para explotar una vulnerabilidad en la forma en que Windows maneja los paquetes IPv6.
- Envío del paquete: El atacante envía el paquete malicioso a la dirección IP del equipo objetivo.
- Procesamiento del paquete: Al recibir el paquete, el sistema Windows lo procesa de manera incorrecta debido a un fallo en la pila TCP/IP, lo que permite que el código malicioso inyectado se ejecute.
- Ejecución del código malicioso: El código malicioso se ejecuta con los privilegios del sistema, otorgando al atacante control total sobre el equipo comprometido.
https://github.com/ynwarcs/CVE-2024-38063
https://malwaretech.com/2024/08/exploiting-CVE-2024-38063.html
Prueba de concepto en video:
https://www.youtube.com/watch?v=MMIg54MCpOw
https://www.youtube.com/watch?v=r-fqJaHRoHs
Plataformas Afectadas
Las plataformas afectadas, además, lógicamente, de las versiones sin soporte:
- • Windows 10
• Windows 11
• Windows Server 2008
• Windows Server 2012
• Windows Server 2016
• Windows Server 2019
• Windows Server 2022
• Windows Server 2025
Digamos que la forma más efectiva de protegerse de esta vulnerabilidad es aplicar el parche de seguridad proporcionado por Microsoft.
- • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063
- Aislar los sistemas vulnerables de la red puede disminuir la probabilidad de que sean explotados.
- Monitorizar la red para identificar actividad sospechosa en la red e implementar una correcta segmentación para limitar el posible movimiento lateral en caso de que se vulnere el sistema.
- Deshabilitar IPV6, siempre que fuera posible, analizando posibles afectaciones.
Tener en cuenta, según indica XiaoWei de Kunlun Lab, que desactivar IPv6 en el cortafuegos de Windows no evitará la explotación, ya que la vulnerabilidad se activa antes de que los paquetes sean procesados por el cortafuegos.
Pasos para deshabilitar IPv6
Haz clic en el menú Inicio y selecciona Configuración, luego haz clic en Red e Internet
Después clic Cambiar opciones del adaptador
En la sección de Estado, haz clic en Cambiar opciones del adaptador
Seguidamente hacer clic derecho sobre el adaptador o conexión de red que estás utilizando (por ejemplo, Ethernet o Wi-Fi) y seleccionar Propiedades.
En la lista de elementos, desmarca la casilla junto a Protocolo de Internet versión 6 (TCP/IPv6).
Y finalmente, haz clic en Aceptar para aplicar los cambios.
En caso de no poder actualizar de inmediato, Microsoft sugiere desactivar IPv6 para reducir la superficie de ataque. Sin embargo, también aclara que IPv6 es una parte integral de Windows Vista y versiones posteriores, por lo que desactivarlo podría afectar el funcionamiento de algunos componentes del sistema operativo.
Héctor Berrocal
CEH, MCP, CCNA, eJPT, ITIL
Analista de Seguridad
Depto. de Auditoría