免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
漏洞概况
Windows TCP/IP(tcpip.sys)是 Windows 操作系统中至关重要的核心驱动程序,负责实现 TCP/IP 协议栈,并处理所有与网络相关的任务。
近日,Windows TCP/IP 被爆出存在远程代码执行漏洞(CVE-2024-38063)。根据微软官方披露的信息,未经身份验证的远程攻击者可以通过反复发送包含特制数据包的 IPv6 数据包到 Windows 机器上,从而在目标系统上实现远程代码执行,微软将该漏洞标记为Exploitation More Likely(更有可能被利用)。
该漏洞披露后,在网络上引发了广泛讨论,甚至被一些机构称为“核弹级漏洞”、“宇宙级漏洞”。
但经过验证,该漏洞利用的前提是需要知道受害者的 IPv6 和 MAC 地址(从实际攻防的场景下,从外网直接获取目标的 MAC 地址难度比较大,目前已知的稳定利用场景是在同一个局域网下通过 arp 获取),然后才能通过向受害者发送畸形的 IPv6 数据包触发 Ipv6pReceiveFragment 方法中的整数溢出,导致内存访问错误,驱动程序崩溃,从而造成系统蓝屏,服务中断。截止到文章发布,微步暂未捕获及发现远程代码执行的EXP。
对于该漏洞的临时缓解措施,微软给出的方法是禁用 Windows 上的 IPv6,但需要注意的是,禁用 IPv6 可能会导致某些意外的问题,请受影响的客户根据自身业务,酌情进行处置。
综合处置优先级:中
基本信息 | 漏洞编号 | CVE-2024-38063 |
漏洞类型 | 远程代码执行 | |
利用条件评估 | 利用漏洞的网络条件 | 远程 |
是否需要绕过安全机制 | 不需要 | |
对被攻击系统的要求 | 启用IPv6(默认开启) | |
利用漏洞的权限要求 | 无需本地操作系统权限,但需要知道受害者的 IPv6 和 MAC 地址。 | |
是否需要受害者配合 | 不需要 |
漏洞影响范围
产品名称 | Microsoft-Windows |
受影响版本 | 受限于篇幅,完整漏洞影响版本请自行搜索 |
影响范围 | 千万级 |
有无修复补丁 | 有 |
漏洞复现
修复方案
官方修复方案:
厂商已发布补丁,具体链接为:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063
临时修复方案:
根据微软官方的建议,禁用服务器上的 IPv6 可临时修复该漏洞。但需要注意的是,禁用 IPv6 可能会导致某些意外的问题,请根据自身业务,酌情进行处置。
禁用 IPv6 的方法如下:
1. 打开控制面板->网络和 Internet->网络和共享中心,点击更改适配器设置。
2. 点对应网卡属性,修改配置。
3. 禁用后,效果如下,点击确认即可。