2024年8月13日, 微软发布了一则CVSS9.8分, 0Click RCE漏洞CVE-2024-38063信息, 相信近期各个单位安全团队都已经陆续采取行动进行修复. 本文旨在对该漏洞进行详细介绍, 也为漏洞快速修复提供方便。
1. 漏洞来源:
该漏洞由国内安全创业公司赛博昆仑旗下的昆仑实验室的安全研究员Wei发现,是由Windows TCP/IP协议栈IPv6相关数据处理代码整数下溢BUG引起堆栈溢出,导致可能无需认证就可以远程执行恶意代码。 业内有人认为这是预留的后手, 作为后续控制目标系统的一个手段。 这里暂不展开。
2. 漏洞影响范围:
漏洞影响服务器端Windows 2008 - Windows 2022.
影响客户端 Windows 10, Windows 11.
3. 漏洞攻击代码可用性:
技术人员最关心的是该漏洞当前是否可以被利用。 目前该漏洞攻击PoC还没有披露。Github上的python PoC主要说明了漏洞的原理
https://github.com/Sachinart/CVE-2024-38063-POC/tree/main
4. 漏洞修复方法:
微软第一时间公布了漏洞修复方法, 主要是禁用IPv6以及安装针对性发布的安全补丁
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063
本文在这个基础上, 进一步分享如何有效禁用IPV6, 以及安装补丁:
如何有效禁用IPV6:
第一种方法: 在GUI图形界面的网卡属性里,去除tcp/ipv6勾选禁用ipv部分功能
第二种方法: 使用PowerShell命令禁用ipv6, 需要在以管理员身份运行的powershell 里面运行下述命令禁用所有网卡的ipv6:
Get-NetAdapterBinding -ComponentID "ms_tcpip6" | where Enabled -eq $true | Disable-NetAdapterBinding -ComponentID "ms_tcpip6"
第三种方法: 配置注册表禁用ipv6功能.
单机用户可直接通过REG修改注册表:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters]
"DisabledComponents"=dword:000000ff
企业管理员可以通过组策略Preferences批量配置注册表:
在域控上创建GPO, 进到Computer Configuration > Preferences > Windows Settings > Registry, 右键单击选择新建注册表项:
Hive: HKEY_LOCAL_MACHINE
Key Path: SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\
Value Name: DisabledComponents
Value Type: REG_DWORD
Value Data: 255 (Decimal)
将该GPO应用到所需终端下一个组策略刷新即可看到终端注册表变动。 注意组策略应用之前做好灰度测试以及变更管理
第四种方法: 利用终端管理方案下发注册表改动禁用ipv6:
可以通过保存下面命令为bat下发
reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters /v DisabledComponents /t REG_DWORD /d 255
如何有效安装补丁更新如KB5041580:
虽然禁用ipv6理论上可以规避该漏洞, 还是建议同步安装最新安全补丁确保漏洞修复. 安全从来都是立体工程而不是线性应对。
第一种方法: 对于小微企业, 直接通知用户联网检查更新安装最新微软补丁。
第二种方法: 下载针对性补丁包安装: 下载后安装重启系统即可
第三种方法:对于中小企业, 搭建补丁管理平台如WSUS管理推送最新补丁
第四种方法: 对于大型企业,建立专用UEM桌面管理方案如 SCCM批量推送补丁更新。其相比于WSUS的优势在于可以更快速高效分发更新因而更适合大型架构
关注生产力联盟,提升个人和组织生产力. 欢迎扫码关注留言沟通.