微软周二警告客户修补一个严重的 TCP/IP 远程代码执行 (RCE) 漏洞,该漏洞被利用的可能性较高,会影响所有使用 IPv6(默认情况下启用)的 Windows 系统。
该安全漏洞由昆仑实验室的 小魏发现,编号为CVE-2024-38063 ,是由整数下溢漏洞引起的,攻击者可以利用该漏洞触发缓冲区溢出,从而可用于在易受攻击的 Windows 10、Windows 11 和 Windows Server 系统上执行任意代码。
该安全研究员在推特上表示: “考虑到其危害,我不会在短期内透露更多细节”,并补充道,在本地 Windows 防火墙上阻止 IPv6 不会阻止漏洞利用,因为该漏洞在被防火墙处理之前就被触发。
正如微软在周二的公告中所解释的那样,未经身份验证的攻击者可以通过反复发送包含特制数据包的 IPv6 数据包,在低复杂度攻击中远程利用此漏洞。
微软还分享了对此严重漏洞的可利用性评估,并为其贴上“更有可能被利用”的标签,这意味着威胁行为者可以创建漏洞代码来“在攻击中持续利用该漏洞”。
“此外,微软知道过去曾有此类漏洞被利用的案例。这将使其成为攻击者的诱人目标,因此更有可能制造漏洞,”雷德蒙德解释道。
“因此,已经查看过安全更新并确定其适用于其环境的客户应该优先考虑这一点。”
对于那些无法立即安装本周 Windows 安全更新的用户,作为一种缓解措施,微软建议禁用 IPv6 以消除攻击面。
然而,在其支持网站上,该公司表示 IPv6 网络协议栈是“Windows Vista 和 Windows Server 2008 及更新版本的强制性部分”,并且不建议关闭 IPv6 或其组件,因为这可能会导致某些 Windows 组件停止工作。
蠕虫漏洞
趋势科技零日计划威胁意识负责人达斯汀·柴尔兹 (Dustin Childs) 也将 CVE-2024-38063 漏洞列为微软本周补丁星期二修复的最严重漏洞之一,并将其标记为可感染蠕虫的漏洞。
“最糟糕的情况可能是 TCP/IP 中的漏洞,它允许远程、未经身份验证的攻击者只需向受影响的目标发送特制的 IPv6 数据包即可获得提升的代码执行权限,”Childs 说。
“这意味着它是可感染蠕虫的。您可以禁用 IPv6 来防止此漏洞,但几乎所有程序都默认启用 IPv6。”
虽然微软和其他公司警告 Windows 用户尽快修补其系统以阻止使用 CVE-2024-38063 漏洞的潜在攻击,但这并不是第一个并且可能不会是最后一个利用 IPv6 数据包进行攻击的 Windows 漏洞。
在过去四年中,微软修补了多个其他 IPv6 问题,包括两个被追踪为CVE-2020-16898 / 9 (也称为 Ping of Death)的 TCP/IP 漏洞,这些漏洞可被利用于远程代码执行 (RCE) 和使用恶意 ICMPv6 路由器通告数据包的拒绝服务 (DoS) 攻击。
此外, IPv6 碎片错误 ( CVE-2021-24086 ) 导致所有 Windows 版本都容易受到 DoS 攻击,而 DHCPv6 缺陷 ( CVE-2023-28231 ) 使得通过特制的调用获得 RCE 成为可能。
尽管攻击者尚未利用它们针对所有支持 IPv6 的 Windows 设备进行大规模攻击,但由于 CVE-2024-38063 被利用的可能性增加,仍建议用户立即应用本月的 Windows 安全更新。
这个严重的 TCP / IP 远程代码执行(RCE)漏洞,会影响所有默认启用 IPv6 的 Windows 系统。
风险描述:
-
攻击者无需以用户身份进行身份验证。
-
不需要访问受害者计算机上的任何设置或文件。
-
受害者设备用户不需要进行任何交互操作,无需点击链接、加载图像或执行文件。
微软强烈建议用户立即更新系统至最新版本,正在发布相关补丁以修复此漏洞。
临时缓解措施:如果目标计算机上禁用 IPv6,系统不会受到影响。
由于此漏洞的性质,攻击者无需用户执行任何操作即可获取权限。大多数情况下,用户获取到的 IPv6 地址为公网地址,因此攻击者极有可能对特定公司、学校、机构或目标人群进行有针对性地入侵。各大公司和机构应及时安装安全补丁或开启系统更新,以确保安全。
微软表示 IPv6 网络协议栈是 Windows Vista 和 Windows Server 2008 及后续版本的必备部分,不建议关闭 IPv6 或其组件,可能会导致某些 Windows 组件停止工作。
漏洞修复教程:
