Link zur News:
https://www.3dcenter.org/news/news-des-16-august-2024

Die Beschreibungen zu solchen Fällen sind typischerweise arg maulfaul genau bei dieser (für den Normalsurfer wichtigen) Unterscheidung, da sollten die damit befassten Journalisten besser darauf achten.

Die Journalisten können ja nur die vorhandenen Informationen weitergeben. Wenn Microsoft selber nur von Netzwerk als Vektor schreibt, dann ist das Problem natürlich Microsoft und nicht Journalisten, die nicht auf der Basis von „irgendwer auf Twitter hat gehört jemand meinte sein Schwager sagt das ist nur innerhalb einer Broadcast-Domäne exploitbar“ irgendwelche einschränkenden Aussagen in ihre Artikel schreiben sollen.

Im Übrigen ist das dennoch eine sehr schwere Lücke, sowohl in Firmennetzen (ja, hier wird normalerweise intensiv auf L2 segmentiert, dennoch bietet sowas enormes Potenzial für horizontale Bewegung) und im privaten (z.B. öffentliche WLANs).

Zu Dragon Age Schleierwacht ...ja, statt R-290X hätte man wohl auch RX-5500 nennen können, andererseits wollte man vielleicht betonen dass DX12.0 noch genügt.

Ne RX-6400 bzw. GTX-1650 könnte zu schwach sein, das würde dann einige APUs bzw. Lapotops aussen vor lassen. Hier hat BioWare aber auch vergessen für welche Mindestauflösung das gedacht ist. Vielleicht hilft ja FSR und DLSS, allerdings hat BioWare das bislang noch nicht angeboten.

Ne HDD wird zwar noch unterstützt, aber eine SSD doch dringend empfohlen. HDD wirkt schon extrem anachronistisch heute.

Interessant noch, dass die Webseite zum Game einen Mindest-AGESA für Win11 aus 2022 einfordert, hier AGESA V2 PI 1.2.0.7. Aus anderen Quellen " .. on Windows 11 corrects a performance-stuttering issue caused due to frequent polling of the fTPM by the OS"

Leider ergeben sich immer noch zu wenige Details über diese Sicherheitslücke, um den Weg des Angriffs wirklich zu verstehen, aus kleinen Indizien spricht allerdings der Punkt, dass auch diese (schwere) Sicherheitslücke wieder nur für Netzwerke interessant ist. Einzelplatz-PCs, welche typischerweise per Router mit dem Internet verbunden sind, sind hierüber eventuell gar nicht angreifbar.

Die Tatsache, dass es sich explizit um eine IPv6 Sicherheitslücke handelt lässt darauf schließen, dass prinzipiell jeder gefährdet ist, der mit IPv6 im Netz ist.
Möglicherweise können Firewalls in Routern die Gefahr mildern, ohne genaue Hintergründe über die Sicherheitslücke lässt sich das aber nicht mit Sicherheit sagen.

Die Beschreibungen zu solchen Fällen sind typischerweise arg maulfaul genau bei dieser (für den Normalsurfer wichtigen) Unterscheidung, da sollten die damit befassten Journalisten besser darauf achten.

Diese Unterscheidung gibt es bei IPv6 nicht, und eine Nachfrage danach würde nur auf das Unwissen des jeweiligen Journalisten schließen lassen.

Interessanter Nebenpunkt: Wer IPv6 generell deaktivieren wollte, darf sich nicht auf die Anbindung an die Netzwerklösung verlassen, sondern muß tatsächlich über die Windows Registry gehen.

Macht man besser direkt am Router, wobei man dann bei einem reinen IPv6 ISP (falls es das schon gibt) auch kein Internet mehr hat. Dann würde aber auch das Deaktivieren von IPv6 in Windows bedeuten, dass die Entsprechenden Clients nicht mehr nach außen können.

Lieber Gast: Augenscheinlich hast Du Ahnung von dem Thema und kannst mich somit in meine Schranken verweisen. Aber auch Du hast nur einzelne Kommentare abgegeben, aus denen es schwer ist ein Gesamtbild zu erhalten. Genau das wird aber nach wie vor gesucht. Kannst Du hierzu noch etwas erhellendes sagen?

Aber auch Du hast nur einzelne Kommentare abgegeben, aus denen es schwer ist ein Gesamtbild zu erhalten. Genau das wird aber nach wie vor gesucht. Kannst Du hierzu noch etwas erhellendes sagen?

Kann ich nicht, und aus gutem Grund. Die Beschreibungen entsprechender CVEs werden bewusst sehr oberflächlich gehalten, um möglichst wenig Informationen preiszugeben wie diese auf ungepatchten Systemen auszunutzen ist.

Würde man das nicht machen könnte wahrscheinlich innerhalb einer Woche jedes "Script-Kiddie" in ungepatchte Systeme eindringen, und das sehr viele User nachlässig beim einspielen neuester Updates sind ist leider nichts neues.

Ok, verstehe ich, habe ich mich schon so gedacht. Es ist halt schade. Wahrscheinlich bei 30-50% dieser Bugs könnte man mit dem nötigen Wissen sagen: Betriff keine Einzelplatz-PCs, wo Netzwerk manuell abgeschaltet ist.

Wahrscheinlich bei 30-50% dieser Bugs könnte man mit dem nötigen Wissen sagen: Betriff keine Einzelplatz-PCs, wo Netzwerk manuell abgeschaltet ist.

Wer betroffen/nicht betroffen ist wird üblicherweise schon kommuniziert.

Nachdem hier außer der Mitteilung, dass es sich um einen Fehler im IPv6 Stack handelt, keinerlei Einschränkung angegeben wird, muss man davon ausgehen, dass alle die per IPv6 erreichbar sind auch gefährdet sind.

Damit sind alle die IPv6 nur intern verwenden und ins Internet lediglich über IPv4 gehen auch nur durch Angriffe von intern verwundbar.

Alle die per IPv6 vom Internet aus erreichbar sind, aber potentiell auch durch Angriffe von außen gefährdet.

Und ja, Einzelplätze ohne Netzwerk dürften wohl logischerweise gar nicht gefährdet sein, durch gar keinen Angriff ohne physischen Zugriff auf das Gerät, ich denke das muss man nicht extra erwähnen.

Jein, es schadet nicht, das einmal so schwarz auf weiss zu lesen. Die entsprechenden Korophäen auf dem Gebiet setzen einfach zu viel voraus, was in ihrer Welt vielleicht Standard-Wissen ist, aber am Normalbürger komplett vorbeigeht. Ab und zu sollte man es auch mal einfach und mit einigem Urschleim erklären, damit Nicht-OS-Insider (ich) sich die Sache erklären und die daraus zu formende Botschaft weitertragen können.

Ergo: Danke für diese Einblicke bzw. Klarstellungen.

Sagen wir mal so, die Tatsache dass man kaum Details erfährt ist ein starker Hinweis, dass die Lücke ziemlich ernst ist, und diese bei genaueren Kenntnissen relativ einfach und auch einigermaßen schnell auszunutzen ist und außer dem offensichtlichen, IPv6 nicht zu nutzen (zumindest für externe Verbindungen), es keine wirklich praktikablen mitigations gibt.

Das einzige was der „Laie“ wissen muss, dass es eine Lücke gibt, und das es bereits einen Patch gibt den es zu installieren gilt um sicher zu sein.

Ok, aber für die Halb-Laien ist es einfach gut, mehr zu wissen. Insbesondere dann, wenn die Tatbestände auch für Laien zu begreifen sind (funktioniert nur unter Netzwerken), es einfach nur an der Information selber mangelt.

Weitere Informationen:

https://www.youtube.com/watch?v=qhQRSUYnVG4

Sehr wenige Informationen (natürlich kann er auch nur sagen, was überhaupt bekannt ist). Zudem geht der Typ auch wieder davon aus, dass man zu Hause ein kleines Netzwerk (mit "nur" 20 Devices) hat.

Meine Fragen sind hingegen:
- Wie ist die Situation ganz ohne Netzwerk?
- Wie ist die Situation in einem WLAN-Netzwerk?
- Ist es technisch möglich, mir einfach so ein IPv6-Paket zuzuschicken, ohne das die PCs direkt verbunden sind?
- Wieso verwirft Windows nicht einfach Pakete von PCs, mit denen ich nicht offiziell verbunden bin?

Zudem geht der Typ auch wieder davon aus, dass man zu Hause ein kleines Netzwerk (mit "nur" 20 Devices) hat.


Die Anzahl der Devices ist auch vollkommen egal.




Dein ernst? Der Angriff erfolg über das Netzwerk, was soll dann passieren wenn es gar kein Netzwerk gibt?


[quote]
- Wie ist die Situation in einem WLAN-Netzwerk?


Der Fehler ist im IP-Protokoll (Schicht 3 im OSI-Modell), die physische Übertragung (Schicht 1) hat darauf überhaupt keinen Einfluss.


- Ist es technisch möglich, mir einfach so ein IPv6-Paket zuzuschicken, ohne das die PCs direkt verbunden sind?

Was verstehst du unter "direkt verbunden"? Eine direkte physische Verbindung ist nicht notwendig. Eine logische v6 Verbindung muss möglich.

IPv6 ist logisch gesehen Point2Point, 2 Geräte die über IPv6 miteinander kommunizieren machen das aus logischer Sicht direkt miteinander, unabhängig davon wie die Pakete physisch tatsächlich fließen.

Wenn du auf https://www.wieistmeineip.de gehst und eine v6 Adresse angezeigt bekommst bist du über IPv6 aus dem Internet erreichbar. Im Gegensatz zur v4 Adresse bei der es sich vermutlich um die Adresse deines Routers handelt, ist die v6 Adresse eine jener auf dem Endgerät, auf welchem der Browser läuft, und unterschiedliche Geräte am selben Router bekommen bei v6 auch unterschiedliche Adressen angezeigt.
Logisch gesehen kommuniziert über v6 direkt ohne Umwege mit dem Webserver. Über IPv6 gibt es kein NAT mehr, bei dem wie IPv4 die logische Kommunikation immer von Gateway zu Gateway erfolgt bis das Ziel erreicht ist.


- Wieso verwirft Windows nicht einfach Pakete von PCs, mit denen ich nicht offiziell verbunden bin?

Das macht Windows auch, um das zu wissen muss Windows aber erstmal das IP-Paket auspacken. Ziemlich sicher passiert schon hier der Buffer Over/Underflow der zur Ausführung von eingeschleustem Code.
Auch ansonsten würde das zu keinem großen Sicherheitsgewinn führen, ohne zusätzliche Authentifizierungsmaßnahmen ziemlich einfach dir ein Paket als ein "mit dir verbundener Server" zu schicken.

Viel wichtiger ist allerdings, dass man spätestens jetzt sich vom Einsatz nicht mehr unterstützter Windows-Versionen verabschieden sollte, IPv6 gibt es schließlich schon lange und es würde mich nicht wundern wenn ältere Windows-Versionen nicht ebenfalls betroffen sind, und nicht mehr gefixt werden.

Danke, einiges gelernt.

Das mit "ohne Netzwerk" war mißverständlich von mir geschrieben. Ich meinte Einzelplatz-PC mit deaktivierter Windows-Netzwerk-Fähigkeit hinter einem Router.

Das mit "ohne Netzwerk" war mißverständlich von mir geschrieben. Ich meinte Einzelplatz-PC mit deaktivierter Windows-Netzwerk-Fähigkeit hinter einem Router.

Viel verständlicher ist das auch nicht, meinst du einen Windows-PC mit deaktivierter Netzwerkkarte?

Windows-PC hinter Router, damit Internet-Zugang. Aber alle Dienste, die Netzwerke verwalten, deaktiviert, sagen wir Netzwerkerkennung etc. Wenn ich den PC mit Netzwerkkabel an andere lokale PCs anschließe, könnte jener nicht gefunden werden. Ob das was bringt: Ich weiss es nicht, keiner erklärt es einem.

Windows-PC hinter Router, damit Internet-Zugang. Aber alle Dienste, die Netzwerke verwalten, deaktiviert, sagen wir Netzwerkerkennung etc. Wenn ich den PC mit Netzwerkkabel an andere lokale PCs anschließe, könnte jener nicht gefunden werden. Ob das was bringt: Ich weiss es nicht, keiner erklärt es einem.

Das ist bei dieser Lücke vollkommen egal, all diese Dinge passieren erst in einer übergeordneten Ebene, die Lücke passiert bereits auf der IP-Ebene, da ist noch gar nicht bekannt welcher der von dir genannten Dienste auf einer höheren Ebene das Paket evtl. weiterbearbeiten sollte.
Wie bekannt ist reicht es ja nicht mal das IPv6 Protokoll beim jeweiligen Netzwerkadapter zu deaktivieren. Vermutlich wird hier Windows für den Netzwerkadapter einfach IPv6 Pakete ignorieren, der Fehler passiert aber schon zuvor, bevor Windows überhaupt weiß dass es das Paket ignorieren soll.

Ein bösartiges Paket wird vermutlich diese Dienste auch gar nicht ansprechen, das wird seine Payload im Kontext des IP-Prozesses einschleusen und auf einen C&C-Server warten um weitere Schadsoftware nachzuladen.

Sehr interessant.

In der Summe: Ein Fehler im IPv6-Protokoll kann sich an allem anderen vorbeimogeln, weil das andere (Dienste, Sicherheit) erst danach kommt.

In der Summe: Ein Fehler im IPv6-Protokoll kann sich an allem anderen vorbeimogeln, weil das andere (Dienste, Sicherheit) erst danach kommt.

Ein Fehler in der Implementierung, ein Fehler in der Protokolldefinition selbst hätte noch viel weitreichendere Folgen.

Danke für die Klarstellung sowie alle Infos vorher.