CVSS 9.8, 0Click RCE Windows高危漏洞CVE-2024-38063详解以及修复方案

最新推荐文章于 2024-09-14 13:24:03 发布
最新推荐文章于 2024-09-14 13:24:03 发布
阅读量1.2k 收藏 15
点赞数 21
分类专栏: 信息安全 Windows 文章标签: windows 安全 microsoft tcp/ip 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DynamicsAgg/article/details/141478181
版权

2024年8月13日, 微软发布了一则CVSS9.8分, 0Click RCE漏洞CVE-2024-38063信息, 相信近期各个单位安全团队都已经陆续采取行动进行修复. 本文旨在对该漏洞进行详细介绍, 也为漏洞快速修复提供方便。 

1. 漏洞来源:

该漏洞由国内安全创业公司赛博昆仑旗下的昆仑实验室的安全研究员Wei发现,是由Windows TCP/IP协议栈IPv6相关数据处理代码整数下溢BUG引起堆栈溢出,导致可能无需认证就可以远程执行恶意代码。  业内有人认为这是预留的后手, 作为后续控制目标系统的一个手段。 这里暂不展开。 

2. 漏洞影响范围: 

漏洞影响服务器端Windows 2008 - Windows 2022. 

影响客户端 Windows 10, Windows 11. 

3. 漏洞攻击代码可用性: 

技术人员最关心的是该漏洞当前是否可以被利用。 目前该漏洞攻击PoC还没有披露。Github上的python PoC主要说明了漏洞的原理 

https://github.com/Sachinart/CVE-2024-38063-POC/tree/main

4. 漏洞修复方法: 

微软第一时间公布了漏洞修复方法, 主要是禁用IPv6以及安装针对性发布的安全补丁

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063

本文在这个基础上, 进一步分享如何有效禁用IPV6, 以及安装补丁:

如何有效禁用IPV6: 

第一种方法: 在GUI图形界面的网卡属性里,去除tcp/ipv6勾选禁用ipv部分功能

Image

第二种方法: 使用PowerShell命令禁用ipv6, 需要在以管理员身份运行的powershell 里面运行下述命令禁用所有网卡的ipv6: 

Get-NetAdapterBinding -ComponentID "ms_tcpip6" | where Enabled -eq $true | Disable-NetAdapterBinding -ComponentID "ms_tcpip6"

第三种方法: 配置注册表禁用ipv6功能. 

单机用户可直接通过REG修改注册表:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters]"DisabledComponents"=dword:000000ff

企业管理员可以通过组策略Preferences批量配置注册表:

在域控上创建GPO, 进到Computer Configuration > Preferences > Windows Settings > Registry, 右键单击选择新建注册表项:

Hive: HKEY_LOCAL_MACHINE

Key Path: SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\

Value Name: DisabledComponents 

Value Type: REG_DWORD

Value Data: 255 (Decimal)

将该GPO应用到所需终端下一个组策略刷新即可看到终端注册表变动。 注意组策略应用之前做好灰度测试以及变更管理

Image

第四种方法:  利用终端管理方案下发注册表改动禁用ipv6: 

可以通过保存下面命令为bat下发

reg add HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters /v DisabledComponents /t REG_DWORD /d 255

如何有效安装补丁更新如KB5041580: 

虽然禁用ipv6理论上可以规避该漏洞, 还是建议同步安装最新安全补丁确保漏洞修复. 安全从来都是立体工程而不是线性应对。

第一种方法: 对于小微企业, 直接通知用户联网检查更新安装最新微软补丁。

第二种方法: 下载针对性补丁包安装:  下载后安装重启系统即可

第三种方法:对于中小企业, 搭建补丁管理平台如WSUS管理推送最新补丁

第四种方法: 对于大型企业,建立专用UEM桌面管理方案如 SCCM批量推送补丁更新。其相比于WSUS的优势在于可以更快速高效分发更新因而更适合大型架构

Image

Image

关注生产力联盟,提升个人和组织生产力. 欢迎扫码关注留言沟通. 

DynamicsAgg
关注
专栏目录
Windows远程桌面授权远程代码执行漏洞CVE-2024-38077(POC、EXP)
墨痕诉清风的博客
09-10 584
成功利用该漏洞的攻击者可以实现远程代码执行,控制受影响的服务器,潜在的危害包括数据泄露、系统崩溃,甚至可能被用于传播勒索等恶意软件。需要注意的是,RDL 服务并非默认启用,但许多管理员会手动启用它以扩展功能,例如增加远程桌面会话的数量(默认情况下,Windows 服务器仅允许两个并发会话)。远程攻击者通过发送精心构造的请求的方式利用此漏洞,成功利用将允许攻击者远程代码执行,获得服务器的最高权限。**批量可利用性:**可使用通用 POC/EXP,批量检测/利用。**修复复杂度:**低,官方提供补丁修复方案
CVE-2024-5491 和 CVE-2024-5的Citrix Netscaler/ADC-13.0- 92.31最新补丁
08-02
针对 CVE-2024-5491 和 CVE-2024-5492 的 NetScaler ADC 和 NetScaler Gateway 安全公告 CVE-2024-5491 漏洞 拒绝服务,配置了 SNMP(启用了管理接口的 NSIP、CLIP 或 SNIP)的ADC 或网关设备。CVSS v4.0 基本分数:...
紧急通告!Windows TCP/IP 远程代码执行高危漏洞CVE-2024-38063
我在Citrix、VMware、Veeam、微软和NVIDIA等领域拥有丰富经验的专业人士,专注于设计和维护虚拟化基础设施、实施备份与灾难恢复策略,致力于优化企业的IT环境。
08-31 1087
紧急通告!Windows TCP/IP 远程代码执行高危漏洞CVE-2024-38063
Windows TCP/IP 远程代码执行漏洞CVE-2024-38063)分析与修复
weixin_45408984的博客
08-20 2089
Windows TCP/IP 远程代码执行漏洞CVE-2024-38063)分析与修复
CVE-2024-38063(Windows TCP/IP 远程执行代码漏洞) 漏洞详情
yh
08-15 4900
CVE-2024-38063是影响 Windows TCP/IP 的严重 RCE 漏洞。它的 CVSSv3 评分为 9.8,被评为“更有可能被利用”。攻击者可以通过向主机发送特制的 IPv6 数据包来远程利用此漏洞。微软的缓解建议建议禁用 IPv6,因为只有 IPv6 数据包才可以被滥用来利用此漏洞。微软已经为所有受支持的 WindowsWindows Server 版本(包括 Server Core 安装)发布了补丁。
CVE-2024-38063Windows TCP/IP 远程代码漏洞利用条件和修复方案
Lucker_YYY的博客
08-16 5878
但经过验证,该漏洞利用的前提是需要知道受害者的 IPv6 和 MAC 地址(从实际攻防的场景下,从外网直接获取目标的 MAC 地址难度比较大,目前已知的稳定利用场景是在同一个局域网下通过 arp 获取),然后才能通过向受害者发送畸形的 IPv6 数据包触发 Ipv6pReceiveFragment 方法中的整数溢出,导致内存访问错误,驱动程序崩溃,从而造成系统蓝屏,服务中断。本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
漏洞剖析】CVE-2024-38063(Windows IPV6 远程执行代码漏洞)
QYbudong的博客
09-04 1728
这也证明之前引发溢出的漏洞并不是单一数据包产生的,我们需要发送多个会被抛弃或或待被处理的ipv6数据包,才能组合触发漏洞。该函数在ipv6数据包重组失败或异常一段时间后被调用,他的代码很少,但在中间部分使用了memmove函数复制缓冲区,顺着这里往上看,它使用IppNetAllocate申请了一块大小为(0xFFD0+8+0x28)再加上一个不超过0x40的值,由于这里是十六位无符号数,所以相加后一定是一个处于0x00和0x50之间的数,远小于0xFFD0,所以下边使用memmove复制内存时会产生溢出。
漏洞预警,又一个协议栈漏洞?Windows TCP/IP 远程执行代码漏洞(CVE-2024-38063)
m0_62100902的博客
08-14 990
2024年8月13日 微软官方发布了一个重量级的漏洞补丁-Windows TCP/IP 远程执行代码漏洞CVSS评分9.8poc未公开,尚未发现在野利用。
CVE-2024-38077是一个关于Windows远程桌面许可服务的远程代码执行漏洞.docx
08-13
CVE-2024-38077是一个关于Windows远程桌面许可服务(Remote Desktop Licensing Service,简称RDL)的远程代码执行漏洞。以下是对该漏洞的详细解析: 一、漏洞概述 漏洞编号:CVE-2024-38077 漏洞类型:远程代码执行...
CVE-2024-5491 和 CVE-2024-5的Citrix Netscaler/ADC-14.1- 25.56最新补丁
08-02
针对 CVE-2024-5491 和 CVE-2024-5492 的 NetScaler ADC 和 NetScaler Gateway 安全公告 CVE-2024-5491 漏洞 拒绝服务,配置了 SNMP(启用了管理接口的 NSIP、CLIP 或 SNIP)的ADC 或网关设备。CVSS v4.0 基本分数:...
核弹级漏洞Windows TCP/IP RCE 漏洞CVE-2024-38063会影响所有启用IPv6系统
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
08-16 1377
BlockBeats 消息,8 月 14 日,据微软官方披露,近日,Windows 系统曝出严重安全漏洞,编号为 CVE-2024-38063漏洞概述漏洞名称Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞漏洞编号CVE-2024-38063公开时间2024-08-13影响对象数量级千万级评级高危CVSS 3.1分数9.8威胁类型拒绝服务、代码执行利用可能性高POC状态未公开在野利...
Windows IPv6漏洞CVE-2024-38063
sanqima的专栏
08-28 937
2024年8月,微软发现Windows10、Windows11、Windows Server2008~Server2022系统里,有个TCP/IP栈的远程代码执行漏洞,它通过目标系统的445端口,走IPv6协议,向目标系统发生特制的TCP包,执行任意代码,绕过主机的身份认证,该漏洞命名为。针对该漏洞,微软在不同的平台(Windows系统、Windows Server服务器),也发布了对应的补丁。可以从2个方面来规避该漏洞,一方面,禁用端口445的入站访问,将网络协议从IPv6切换为IPv4;另一方面,
CVE-2024-38063 POC
2303_79016500的博客
08-29 44
iface=''ip_addr=''= '':= '':else:print("")
Windows TCP/IP IPv6 DDos远程蓝屏复现及修复(CVE-2024-38063)
Lucky小小吴的小屋
08-29 1390
最近,windows爆出重量级漏洞CVE-2024-38063),攻击者通过不断发送ipv6数据包,可实现远程DDOS导致目标windows直接蓝屏,或RCE
Windows TCP/IP 远程代码执行漏洞CVE-2024-38063)紧急处置建议
weixin_43727442的博客
09-03 674
依据微软官方所提供的缓解策略,我们通过 PowerShell 来禁用 IPv6,从而临时缓解 Windows TCP/IP 远程代码执行漏洞CVE-2024-38063)所引发的风险隐患。此外,为了方便操作,还特别编写了详尽的使用 PowerShell 禁用 IPv6 的具体步骤以供参考。例如,在一些对网络安全性要求较高的企业环境中,及时采取这种临时缓解措施,能够为后续的漏洞修复争取更多的时间和准备空间,有效降低在补丁未完全安装到位期间可能遭受攻击的概率。记下要禁用IPv6的适配器的名称。
利用批处理脚本快速关闭Windows IPv6防御CVE-2024-38063漏洞攻击
08-16 943
为此,我们特别设计了一个简易批处理脚本,旨在帮助用户快速关闭Windows系统中的IPv6功能,以此作为临时缓解措施,增强系统安全性。近日,Windows 系统曝出严重安全漏洞,编号为 CVE-2024-38063,该漏洞影响所有受支持的 Windows 版本,包括 Windows 11、Windows 10 以及多个版本的 Windows Server。漏洞的 **CVSS3.1。攻击者可以通过反复向 Windows 设备发送特制的 IPv6 数据包,触发漏洞并远程执行代码,无需用户交互或身份验证。
漏洞复现-Windows TCPIP存在9.8分远程代码执行漏洞(CVE-2024-38063)
最新发布
玄道的网安博客
09-14 882
该远程代码执行漏洞存在于Windows系统中的TCP/IP堆栈处理IPv6流量时,利用特定的IPv6数据包即可触发,且涉及TCP/IP这一支撑互联网通信的核心协议套件,成功利用此漏洞可导致远程代码执行,无需以用户身份进行身份验证即可远程进行文件查看、系统设置等操作可能导致广泛的系统破坏。就可能会出现漏洞,例如用户态的传入的UserInputBuffer和UserOutputBuffer均为内核态地址,驱动就会根据用户态传入地址读写,即可造成任意地址读写。最后完成提权,使用提升的权限启动一个新的命令提示符。
【利用场景更新】Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞(CVE-2024-38063)安全风险通告...
smellycat000的专栏
08-16 164
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞漏洞编号QVD-2024-36353,CVE-2024-38063公开时间2024-08-13影响对象数量级千万级奇安信评级高危CVSS 3.1分数9.8威胁类型拒绝服务、代码执行利用可能性高POC状态未公开在野利用状态未发现EXP状态未公开技术细节状态未公开危害描述:未经身...
CVE-2024-3273
06-29
CVE-2024-3273是一个未公开的安全漏洞(Common Vulnerabilities and Exposures, CVSS)标识符,通常用于跟踪和分类软件中的安全漏洞。由于这个漏洞的具体细节还没有公开,因此我无法提供详细的描述或解决方案。不过一般来说,CVE编号会按照以下步骤分配: - 当发现新的安全漏洞时,它首先由一个负责分配CVE编号的组织(如CVE程序管理机构)确认。 - CVE-2024-3273可能涉及到操作系统、应用程序、硬件驱动程序或其他软件组件的弱点,可能导致未经授权的访问、数据泄露、系统破坏或其他形式的攻击。 - 解决方案通常包括软件供应商发布的安全更新、补丁或安全配置更改。 如果你需要了解CVE-2024-3273的具体信息,建议直接查看相关的安全公告、厂商公告或官方的安全通报。如果你是在维护系统或对某个特定软件有疑虑,应尽快检查是否有针对此漏洞的相关安全通知,并及时采取行动进行修复
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值