【漏洞剖析】CVE-2024-38063(Windows IPV6 远程执行代码漏洞)

已于 2024-09-27 17:09:45 修改
阅读量4.3k 收藏 32
点赞数 26
分类专栏: 0day/1day 文章标签: windows 网络安全 安全 网络协议 计算机网络
于 2024-09-04 22:41:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QYbudong/article/details/141905176
版权

目录

一、搭建环境

1.内核调试环境

2.获取pdb符号文件

二、静态分析

三、动态调试

四、触发漏洞

五、【强运】的回响

一、搭建环境

1.内核调试环境

VMware 17 以上请下载https://github.com/4d61726b/VirtualKD-Redux

主机环境:

Windbg(尽量默认路径安装,后边省的改设置)

Virtualkd:VirtualKD - Windows Kernel Debugger Booster for Virtual Machines

Vmware虚拟机环境:

Windows10(有漏洞版本)            Wireshark(监测数据包用)

Virtualkd也下载一份,双击启动target/vminstall.exe,点击install,全部默认选是,自动重启虚拟机,进入debug模式

主机上启动 vmmon64.exe

虚拟机打开target64目录下的vminstall.exe,默认设置确定,重启后在这个界面按F8

选择“禁用驱动程序签名强制”(关键嗷,不然主机这边挂不上调试)

主机上OS和Debugger都是yes,证明成功挂上调试

主机windbg出现int 3,并且虚拟机卡住,这时在windbg命令行输入g继续运行

2.获取pdb符号文件

在使用windbg输入命令调试时,如果一直busy,可以先break一下,输入命令后再g继续运行

在windbg设置符号路径,确保WinDbg能够访问微软的符号服务器

.sympath srv*C:\Symbols*https://msdl.microsoft.com/download/symbols

其中C:\Symbols是本地符号缓存目录&#x

最低0.47元/天 解锁文章
Windows IPv6漏洞CVE-2024-38063
sanqima的专栏
08-28 1717
2024年8月,微软发现Windows10、Windows11、Windows Server2008~Server2022系统里,有个TCP/IP栈的远程代码执行漏洞,它通过目标系统的445端口,走IPv6协议,向目标系统发生特制的TCP包,执行任意代码,绕过主机的身份认证,该漏洞命名为。针对该漏洞,微软在不同的平台(Windows系统、Windows Server服务器),也发布了对应的补丁。可以从2个方面来规避该漏洞,一方面,禁用端口445的入站访问,将网络协议IPv6切换为IPv4;另一方面,
CVE-2024-38063(Windows TCP/IP 远程执行代码漏洞) 漏洞详情
yh
08-15 6079
CVE-2024-38063是影响 Windows TCP/IP 的严重 RCE 漏洞。它的 CVSSv3 评分为 9.8,被评为“更有可能被利用”。攻击者可以通过向主机发送特制的 IPv6 数据包来远程利用此漏洞。微软的缓解建议建议禁用 IPv6,因为只有 IPv6 数据包才可以被滥用来利用此漏洞。微软已经为所有受支持的 WindowsWindows Server 版本(包括 Server Core 安装)发布了补丁。
Windows TCP/IP IPv6 DDos远程蓝屏复现及修复(CVE-2024-38063)
Lucky小小吴的小屋
08-29 4721
最近,windows爆出重量级漏洞CVE-2024-38063),攻击者通过不断发送ipv6数据包,可实现远程DDOS导致目标windows直接蓝屏,或RCE。
CVSS 9.8, 0Click RCE Windows高危漏洞CVE-2024-38063详解以及修复方案
DynamicsAgg的博客
08-24 1549
CVSS 9.8, 0Click RCE Windows高危漏洞CVE-2024-38063详解以及修复方案
CVE-2024-6387环境搭建和复现
最新发布
dzqxwzoe的博客
03-02 614
这本质上是一种统计漏洞:需要进行大量尝试才能赢得竞争条件并成功执行任意代码,攻击者需要克服很多障碍,”Schwartz 告诉SecurityWeek。“即使在最好的情况下,最著名的漏洞也需要 4 个多小时才能运行。在OpenSSH 9.8 的发布说明中,开发人员指出该漏洞仅在基于 glibc 的 32 位 Linux 系统上得到证实,并指出 OpenBSD 不受影响。环境搭建采用Docker公网有了一个,但是需要编译,代码附在相关链接里了。我改成了python的,增加了多线程并发,提高攻击速度。
Windows TCP/IP 远程代码执行漏洞CVE-2024-38063)分析与修复
weixin_45408984的博客
08-20 3687
Windows TCP/IP 远程代码执行漏洞CVE-2024-38063)分析与修复
核弹级漏洞Windows TCP/IP RCE 漏洞CVE-2024-38063会影响所有启用IPv6系统
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
08-16 1867
BlockBeats 消息,8 月 14 日,据微软官方披露,近日,Windows 系统曝出严重安全漏洞,编号为 CVE-2024-38063漏洞概述漏洞名称Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞漏洞编号CVE-2024-38063公开时间2024-08-13影响对象数量级千万级评级高危CVSS 3.1分数9.8威胁类型拒绝服务、代码执行利用可能性高POC状态未公开在野利...
CVE-2024-38063Windows TCP/IP 远程代码漏洞利用条件和修复方案
热门推荐
Lucker_YYY的博客
08-16 1万+
但经过验证,该漏洞利用的前提是需要知道受害者的 IPv6 和 MAC 地址(从实际攻防的场景下,从外网直接获取目标的 MAC 地址难度比较大,目前已知的稳定利用场景是在同一个局域网下通过 arp 获取),然后才能通过向受害者发送畸形的 IPv6 数据包触发 Ipv6pReceiveFragment 方法中的整数溢出,导致内存访问错误,驱动程序崩溃,从而造成系统蓝屏,服务中断。本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
漏洞预警,又一个协议栈漏洞?Windows TCP/IP 远程执行代码漏洞(CVE-2024-38063)
m0_62100902的博客
08-14 1100
2024年8月13日 微软官方发布了一个重量级的漏洞补丁-Windows TCP/IP 远程执行代码漏洞,CVSS评分9.8,poc未公开,尚未发现在野利用。
紧急通告!Windows TCP/IP 远程代码执行高危漏洞CVE-2024-38063
我在Citrix、VMware、Veeam、微软和NVIDIA等领域拥有丰富经验的专业人士,专注于设计和维护虚拟化基础设施、实施备份与灾难恢复策略,致力于优化企业的IT环境。
08-31 1315
紧急通告!Windows TCP/IP 远程代码执行高危漏洞CVE-2024-38063
漏洞复现-Windows TCPIP存在9.8分远程代码执行漏洞(CVE-2024-38063)
玄道的网安博客
09-14 1649
远程代码执行漏洞存在于Windows系统中的TCP/IP堆栈处理IPv6流量时,利用特定的IPv6数据包即可触发,且涉及TCP/IP这一支撑互联网通信的核心协议套件,成功利用此漏洞可导致远程代码执行,无需以用户身份进行身份验证即可远程进行文件查看、系统设置等操作可能导致广泛的系统破坏。就可能会出现漏洞,例如用户态的传入的UserInputBuffer和UserOutputBuffer均为内核态地址,驱动就会根据用户态传入地址读写,即可造成任意地址读写。最后完成提权,使用提升的权限启动一个新的命令提示符。
微软最新 WiFi 远程代码执行漏洞CVE-2024-30078)探究
阿里技术
07-17 1628
从函数的名称 Dt11Translate80211ToEthernetNdisPacket 可以推测,这个函数用于处理 802.11 数据包。802.11 是一种无线局域网的标准,而 WiFi 是 802.11 标准的一种产品实现。用 IDA 反编译函数,发现补丁是增加了一处对数值的比较,如果不满足条件则返回 NDIS_STATUS_INVALID_PACKET(0xc001000),即数据包非法。调用层次图表明,函数会在接收到 802.11 数据包时被调用。
网络安全警钟:Windows TCP/IP协议出现高危漏洞
AIwenIPgeolocation的博客
08-16 791
因此,微软还提供了临时的缓解措施,如通过PowerShell脚本禁用IPv4的松散来源路由(针对CVE-2021-24074)和在边界网络设备上禁用IPv6分段(针对CVE-2021-24086和CVE-2021-24094),以减轻潜在的风险。支持多样化的上层应用:TCP/IP协议是一种分层的网络协议模型,其中传输层和网络层提供的基本服务可以支持各种不同类型的上层应用,如万维网(WWW)、电子邮件(E-mail)、文件传输(FTP)等。然而,对于尚未更新系统的用户而言,仍然面临被攻击的风险。
Windows DNS Server 远程代码执行漏洞 (CVE-2021-24078) 的详细原理分析
smellycat000的专栏
02-11 3486
聚焦源代码安全,网罗国内外最新资讯!漏洞简介Windows DNS Server 是 Windows Server 服务器上的一项重要功能组件, 负责调度和处理域内主机的所有DNS相关服...
Windows TCP/IP 远程代码执行漏洞CVE-2024-38063)紧急处置建议
weixin_43727442的博客
09-03 918
依据微软官方所提供的缓解策略,我们通过 PowerShell 来禁用 IPv6,从而临时缓解 Windows TCP/IP 远程代码执行漏洞CVE-2024-38063)所引发的风险隐患。此外,为了方便操作,还特别编写了详尽的使用 PowerShell 禁用 IPv6 的具体步骤以供参考。例如,在一些对网络安全性要求较高的企业环境中,及时采取这种临时缓解措施,能够为后续的漏洞修复争取更多的时间和准备空间,有效降低在补丁未完全安装到位期间可能遭受攻击的概率。记下要禁用IPv6的适配器的名称。
影响所有用IPv6的系统 Windows TCP/IP远程执行代码漏洞风险通告
亚信安全官方账号的博客
08-16 501
亚信安全CERT建议客户下载最新的补丁版本或手动更新系统。
CVE-2024-38063 ipv6远程蓝屏
一个努力学习网安的小牛马
09-13 477
我看了一下大概是因为核心缓冲区溢出后指向了ipv6,造成的远程代码执行,通过python进行构造分片发包。本文章仅供学习与交流,请勿用于非法用途,均由使用者本人负责,文章作者不为此承担任何责任。不知道网卡的可以在ipconfig /all中的描述中查看这里网卡是要填攻击机的。可能win11ipv6地址会消失,使用以下命令即可。攻击机也需要打开ipv6因为要进行通讯步骤如上。控制面板>网络和 Internet>网络连接。启动一个windows系统将ipv6打开。查看被攻击机的ip以及mac地址。
利用批处理脚本快速关闭Windows IPv6防御CVE-2024-38063漏洞攻击
08-16 1422
为此,我们特别设计了一个简易批处理脚本,旨在帮助用户快速关闭Windows系统中的IPv6功能,以此作为临时缓解措施,增强系统安全性。近日,Windows 系统曝出严重安全漏洞,编号为 CVE-2024-38063,该漏洞影响所有受支持的 Windows 版本,包括 Windows 11、Windows 10 以及多个版本的 Windows Server。漏洞的 **CVSS3.1。攻击者可以通过反复向 Windows 设备发送特制的 IPv6 数据包,触发漏洞远程执行代码,无需用户交互或身份验证。
高危漏洞CVE-2024-38077的修复指南
Linux学习的那些事儿
08-13 1万+
根据2024年8月9日,**国家信息安全漏洞共享平台**(CNVD)收录了Windows远程桌面许可服务远程代码执行漏洞**(CNVD-2024-34918,对应CVE-2024-38077)**。未经身份认证的攻击者可利用漏洞远程执行代码,获取服务器控制权限。目前,该漏洞的部分技术原理和概念验证伪代码已公开,厂商已发布安全更新完成修复。CNVD建议受影响的单位和用户安全即刻升级到最新版本。
CVE-2024-38063
08-16
CVE-2024-38063是一个安全漏洞的编号,它通常用于标识特定的时间点上发现的技术问题。这种漏洞可能是软件存在的一个弱点,可能导致未经授权的访问、数据泄露或其他形式的安全风险。每个CVE编号由四部分组成,分别代表年份、月份、序列号以及漏洞的描述。例如,CVE-2024-38063表示这是2024年的一个漏洞,序号38063。为了了解详细情况,你需要查看相关的漏洞公告、厂商发布的补丁说明或者网络安全信息来源,因为具体的修复措施、影响范围和利用手段会随着公告的发布而更新。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值