Se usi Comodo Internet Security, la priorità è ridurre subito l’esposizione al traffico IPv6 sospetto e prepararti a un possibile blocco del sistema. La vulnerabilità segnalata può provocare un crash di Windows da remoto, quindi la misura più prudente è monitorare la rete, limitare gli header IPv6 avanzati e valutare una protezione temporanea a livello di gateway.
La falla interessa il componente firewall a livello kernel e, secondo la segnalazione resa pubblica, può essere attivata con un singolo pacchetto IPv6 costruito in modo malevolo. Questo significa che il problema non riguarda solo la stabilità del prodotto, ma anche la continuità operativa di workstation e server che lo utilizzano.
Cosa è successo
Un ricercatore di sicurezza ha reso pubblico un difetto critico in Comodo Internet Security dopo vari tentativi di contattare il produttore senza ricevere risposta. La vulnerabilità è stata descritta come una condizione zero-day capace di causare un attacco di tipo denial-of-service remoto, con effetto immediato: la schermata blu e il riavvio forzato del sistema.
La falla è stata associata al driver kernel del firewall, il che la rende particolarmente delicata. Quando un bug si trova in un componente che lavora a basso livello nel sistema operativo, può generare impatti più ampi rispetto a un semplice crash dell’applicazione: in questo caso, l’intero host Windows può diventare indisponibile.
Perché è un problema serio
Il punto più preoccupante è che l’attacco può avvenire da remoto e non richiede interazione da parte dell’utente. In pratica, un aggressore potrebbe inviare un pacchetto IPv6 appositamente manipolato e mandare in crash il dispositivo bersaglio.
Un altro elemento critico è che la vulnerabilità si verifica nel driver stesso, prima che le regole del firewall vengano applicate. Questo rende inefficace l’idea di affidarsi soltanto a una configurazione restrittiva delle policy interne: se il pacchetto viene già interpretato dal componente vulnerabile, il danno può verificarsi prima ancora del filtraggio classico.
Come si manifesta il difetto
La causa principale risiede nel modo in cui il driver analizza alcuni header di estensione IPv6. Durante l’elaborazione del pacchetto, il componente memorizza la lunghezza del payload in una variabile controllata in gran parte dall’attaccante. Se il valore inserito è inferiore alla somma delle intestazioni estese presenti nel pacchetto, si verifica un sottoflusso intero non firmato.
In termini semplici, il contatore interno scende sotto zero e “si ribalta” verso un valore enormemente grande. Questo altera la logica di parsing e apre la strada a letture o scritture fuori dai limiti della memoria prevista.
Quanto è facile da sfruttare
La tecnica descritta è compatta e richiede un singolo pacchetto malformato. Secondo la ricostruzione tecnica, è stata usata un’estensione IPv6 di tipo Destination Options perché è meno probabile che venga scartata lungo il percorso di rete rispetto ad altre intestazioni più insolite.
Questo aspetto aumenta la probabilità di riuscita dell’attacco su reti reali. Non serve inviare una raffica di pacchetti né costruire una catena di exploit complessa: basta un input sufficientemente anomalo per destabilizzare il sistema target.
Esiste il rischio di esecuzione di codice?
La valutazione divulgata indica che l’obiettivo primario dell’exploit è il crash del sistema, non l’esecuzione di codice remoto. Il difetto, infatti, porta a condizioni di lettura fuori dai limiti e a una scrittura fuori dai limiti, ma il comportamento risultante sembra tradursi soprattutto in un guasto immediato del kernel.
In particolare, la scrittura fuori dai limiti viene descritta come estremamente distruttiva: una copia di memoria con dimensione corrotta può produrre un overflow del pool kernel talmente ampio da causare il crash del sistema prima che un eventuale codice malevolo possa prendere controllo stabile dell’esecuzione.
Cosa dovrebbero fare subito gli amministratori
In assenza di una correzione ufficiale, le misure più utili sono di contenimento e monitoraggio. Le organizzazioni che usano Comodo Internet Security dovrebbero:
- controllare il traffico IPv6 anomalo ai bordi della rete
- limitare o bloccare gli header di estensione IPv6 non necessari
- prestare particolare attenzione a Destination Options, identificato come Next Header 60
- verificare la presenza di riavvii inattesi o crash ricorrenti su endpoint protetti
- testare l’impatto di eventuali regole temporanee in un ambiente controllato prima del rilascio in produzione
Queste misure non risolvono la vulnerabilità, ma possono ridurre la probabilità che un pacchetto malevolo raggiunga il componente vulnerabile.
Perché la mancata risposta del vendor pesa molto
La segnalazione pubblica evidenzia anche un problema di processo: i tentativi di contatto con il produttore non avrebbero ricevuto risposta, nemmeno dopo ulteriori solleciti. In sicurezza informatica, la rapidità di collaborazione tra ricercatori e vendor è fondamentale perché consente di correggere i difetti prima che vengano sfruttati su larga scala.
La mancanza di un programma pubblico di bug bounty complica ulteriormente la gestione responsabile delle segnalazioni, perché riduce gli incentivi e i canali strutturati per la disclosure coordinata.
Impatto per utenti e aziende
Per gli utenti domestici, il rischio principale è il blocco improvviso del PC, con conseguente perdita del lavoro non salvato e necessità di riavvio. Per le aziende, il problema è più ampio: un crash ripetuto su endpoint critici può interrompere servizi, supporto remoto, attività di help desk e flussi operativi che dipendono da quelle macchine.
Se il software è distribuito in modo standard su un parco macchine esteso, anche un attacco limitato a pochi endpoint può generare costi di gestione e tempi morti significativi.
Cosa monitorare nei prossimi giorni
Sarà importante verificare se il produttore pubblicherà una patch, una mitigazione o istruzioni ufficiali per limitare l’esposizione. Nel frattempo, chi gestisce reti aziendali dovrebbe considerare una revisione delle policy IPv6, soprattutto se non utilizza attivamente tutte le funzionalità di estensione del protocollo.
Anche gli apparati di frontiera meritano attenzione: firewall perimetrali, router e sistemi di sicurezza di rete possono essere configurati per intercettare o bloccare combinazioni di header insolite, riducendo la probabilità che il traffico arrivi al driver vulnerabile.
Technical Deep Dive
Il difetto si colloca nel parser IPv6 del driver firewall in modalità kernel e riguarda la gestione di payload_length, un campo derivato dall’header IPv6 fisso e quindi controllabile dall’attaccante. Durante l’iterazione sugli extension header, il parser sottrae la lunghezza di ciascuna intestazione da questo valore senza verificare in anticipo che il totale rientri nei limiti attesi.
Quando la lunghezza iniziale è inferiore alla somma delle intestazioni presenti, l’aritmetica su interi non firmati produce underflow. In un ambiente a 64 bit, questo porta il contatore a un valore vicino al massimo rappresentabile, con effetti a cascata sui controlli successivi e sulle operazioni di memoria che dipendono da quel dato.
La segnalazione tecnica descrive due primitive interessanti: una lettura fuori dai limiti e una scrittura fuori dai limiti. La prima viene limitata dal comportamento di un componente che termina l’analisi quando incontra header HTTP standard; la seconda, più pericolosa in astratto, viene attenuata dal fatto che la lunghezza corrotta viene troncata a 32 bit durante una memcpy, generando un overflow molto esteso ma soprattutto distruttivo.
Questo spiega perché il difetto è classificato principalmente come denial-of-service remoto e non come vettore affidabile per RCE. In pratica, la superficie d’attacco è reale e pericolosa, ma la stabilità dell’exploit non sembra sufficiente per ottenere un controllo preciso della memoria del kernel.
Un ulteriore dettaglio rilevante è la scelta dell’header Destination Options. Poiché questa estensione è meno soggetta a filtraggio rispetto ad altre, l’aggressore aumenta la probabilità che il pacchetto attraversi gli apparati intermedi e raggiunga il bersaglio. In scenari difensivi, questo rende particolarmente utile la revisione delle regole sui pacchetti IPv6 con estensioni non essenziali.
Per i team di sicurezza, i controlli più efficaci sono la visibilità sul traffico IPv6, la segmentazione del rischio e la limitazione delle funzionalità non indispensabili sui dispositivi esposti. Se IPv6 non è necessario, una disattivazione controllata o una policy restrittiva sugli extension header può offrire una mitigazione temporanea più robusta rispetto alla sola fiducia nel filtro applicativo.
Fonte: https://gbhackers.com/comodo-internet-security-0-day-flaw/
