Windows TCP/IP 远程代码执行漏洞(CVE-2024-38063)分析与修复

最新推荐文章于 2024-09-04 22:41:16 发布
最新推荐文章于 2024-09-04 22:41:16 发布
阅读量2.3k 收藏 7
点赞数 4
分类专栏: 运维助手 文章标签: windows tcp/ip 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45408984/article/details/141363012
版权

Windows TCP/IP 远程代码执行漏洞(CVE-2024-38063)分析与修复

简介

在2024年8月,微软发布了关于Windows TCP/IP栈中的一个严重漏洞——CVE-2024-38063的安全通告。该漏洞为远程代码执行漏洞,攻击者可以通过发送特制的网络数据包,成功在目标系统上执行任意代码,进而完全控制受影响的系统。此漏洞的存在对所有使用Windows操作系统的服务器和客户端构成了严重的安全威胁。

漏洞细节

CVE-2024-38063 是由于Windows TCP/IP协议栈在处理特定网络数据包时存在缓冲区溢出漏洞。攻击者可以通过向目标设备发送特制的数据包,导致系统内存的损坏,最终实现代码执行。

影响范围

此漏洞影响以下版本的Windows操作系统:

  • Windows 10 版本 1607及更高版本
  • Windows Server 2016 及更高版本
  • Windows 11 所有版本

漏洞利用

漏洞利用的关键在于如何构造特制的数据包,以诱导Windows TCP/IP协议栈错误处理。成功的攻击可以实现以下目标:

  • 远程执行任意代码
  • 崩溃目标系统,造成拒绝服务(DoS)
  • 绕过现有的安全防护措施(如防火墙、IDS/IPS)

漏洞分析

Windows TCP/IP栈在处理数据包时,通常会进行严格的边界检查。然而,在CVE-2024-38063中,攻击者可以通过发送超大或恶意格式化的数据包,导致协议栈的缓冲区溢出。由于内存管理错误,攻击者可以在系统的地址空间中执行他们所构建的恶意代码。

漏洞的触发条件较为简单,只需要攻击者与目标设备在同一网络中或通过网络传输渠道发送恶意数据包即可。

修复方案

微软已经为该漏洞发布了补丁,用户应尽快安装最新的安全更新来防止潜在的攻击。以下是修复该漏洞的详细步骤:

1. 安装最新的Windows更新

通过Windows Update或微软官方网站,下载并安装最新的安全补丁。确保系统已应用所有关键更新,尤其是与TCP/IP协议栈相关的补丁。

# 通过Windows Update自动更新
Start -> Settings -> Update & Security -> Windows Update -> Check for updates

2. 临时缓解措施

在正式安装补丁之前,可以采取以下临时缓解措施来降低被攻击的风险:

  • 启用防火墙规则:配置防火墙以过滤不可信的网络流量,特别是来自不受信任的来源的TCP/IP流量。

  • 禁用不必要的网络服务:对于未被使用的网络协议和服务,建议暂时禁用以减少攻击面。

3. 监控与检测

启用并监控入侵检测系统(IDS)或入侵防御系统(IPS),捕获并分析可疑的网络流量模式,特别是针对TCP/IP的异常流量。及时响应和阻止潜在的攻击。

结论

CVE-2024-38063 是一个严重的安全漏洞,对Windows用户构成了重大风险。安装安全更新是防止该漏洞被利用的最佳方式。除此之外,还可以通过启用防火墙规则和网络监控来增强系统的安全性。

为了确保系统的安全性,建议用户定期检查并安装最新的安全更新,并保持对网络环境中潜在威胁的警惕。

希望这篇博客内容能够帮助你理解和实现类似的悬浮按钮功能。如有任何疑问或建议,欢迎在评论区留言讨论!

以下是整理后的博客内容,代码中列表数据的查询业务已隐藏,并替换为演示示例。你可以直接将以下内容发布到博客中。

希望这篇博客内容能够帮助你理解和实现类似的悬浮按钮功能。如有任何疑问或建议,欢迎在评论区留言讨论!

饼干饿死了
关注
专栏目录
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
CVE-2024-38063(Windows TCP/IP 远程执行代码漏洞) 漏洞详情
yh
08-15 5292
CVE-2024-38063是影响 Windows TCP/IP 的严重 RCE 漏洞。它的 CVSSv3 评分为 9.8,被评为“更有可能被利用”。攻击者可以通过向主机发送特制的 IPv6 数据包来远程利用此漏洞。微软的缓解建议建议禁用 IPv6,因为只有 IPv6 数据包才可以被滥用来利用此漏洞。微软已经为所有受支持的 WindowsWindows Server 版本(包括 Server Core 安装)发布了补丁。
漏洞剖析】CVE-2024-38063(Windows IPV6 远程执行代码漏洞)
最新发布
QYbudong的博客
09-04 2461
这也证明之前引发溢出的漏洞并不是单一数据包产生的,我们需要发送多个会被抛弃或或待被处理的ipv6数据包,才能组合触发漏洞。该函数在ipv6数据包重组失败或异常一段时间后被调用,他的代码很少,但在中间部分使用了memmove函数复制缓冲区,顺着这里往上看,它使用IppNetAllocate申请了一块大小为(0xFFD0+8+0x28)再加上一个不超过0x40的值,由于这里是十六位无符号数,所以相加后一定是一个处于0x00和0x50之间的数,远小于0xFFD0,所以下边使用memmove复制内存时会产生溢出。
核弹级漏洞Windows TCP/IP RCE 漏洞CVE-2024-38063会影响所有启用IPv6系统
关注微信公众号【开源Linux】,后台回复『10T』,领取10T学习资源大放送,涵盖Linux、虚拟化、容器、云计算、网络、Python、Go等书籍和视频
08-16 1472
BlockBeats 消息,8 月 14 日,据微软官方披露,近日,Windows 系统曝出严重安全漏洞,编号为 CVE-2024-38063漏洞概述漏洞名称Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞漏洞编号CVE-2024-38063公开时间2024-08-13影响对象数量级千万级评级高危CVSS 3.1分数9.8威胁类型拒绝服务、代码执行利用可能性高POC状态未公开在野利...
CVE-2024-38063Windows TCP/IP 远程代码漏洞利用条件和修复方案
Lucker_YYY的博客
08-16 6841
但经过验证,该漏洞利用的前提是需要知道受害者的 IPv6 和 MAC 地址(从实际攻防的场景下,从外网直接获取目标的 MAC 地址难度比较大,目前已知的稳定利用场景是在同一个局域网下通过 arp 获取),然后才能通过向受害者发送畸形的 IPv6 数据包触发 Ipv6pReceiveFragment 方法中的整数溢出,导致内存访问错误,驱动程序崩溃,从而造成系统蓝屏,服务中断。本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
Windows IPv6漏洞CVE-2024-38063
sanqima的专栏
08-28 1106
2024年8月,微软发现Windows10、Windows11、Windows Server2008~Server2022系统里,有个TCP/IP栈的远程代码执行漏洞,它通过目标系统的445端口,走IPv6协议,向目标系统发生特制的TCP包,执行任意代码,绕过主机的身份认证,该漏洞命名为。针对该漏洞,微软在不同的平台(Windows系统、Windows Server服务器),也发布了对应的补丁。可以从2个方面来规避该漏洞,一方面,禁用端口445的入站访问,将网络协议IPv6切换为IPv4;另一方面,
漏洞预警,又一个协议栈漏洞?Windows TCP/IP 远程执行代码漏洞(CVE-2024-38063)
m0_62100902的博客
08-14 1022
2024年8月13日 微软官方发布了一个重量级的漏洞补丁-Windows TCP/IP 远程执行代码漏洞,CVSS评分9.8,poc未公开,尚未发现在野利用。
CentOS Linux OpenSSH 远程代码执行漏洞(CVE-2024-6387)修复方案
07-04
CentOS Linux OpenSSH 远程代码执行漏洞(CVE-2024-6387)修复方案
Rochy Linux 9.0 OpenSSH 远程代码执行漏洞(CVE-2024-6387)修复方案
07-04
Rochy Linux 9.0 OpenSSH 远程代码执行漏洞(CVE-2024-6387)修复方案
CVE-2021-22986 F5 BIG-IP-IQ 远程代码执行.md
04-23
CVE-2021-22986 F5 BIG-IP-IQ 远程代码执行
远程执行代码漏洞(CVE-2018-0886)漏洞修复
08-21
**远程执行代码漏洞(CVE-2018-0886)详解及修复** 远程执行代码漏洞(Remote Code Execution,RCE)是网络安全领域的一个重要话题,它指的是攻击者利用软件中的漏洞,在未经用户授权的情况下,能够在目标系统上执行...
CVSS 9.8, 0Click RCE Windows高危漏洞CVE-2024-38063详解以及修复方案
DynamicsAgg的博客
08-24 1344
CVSS 9.8, 0Click RCE Windows高危漏洞CVE-2024-38063详解以及修复方案
Windows TCP/IP 远程代码执行漏洞CVE-2024-38063)紧急处置建议
weixin_43727442的博客
09-03 751
依据微软官方所提供的缓解策略,我们通过 PowerShell 来禁用 IPv6,从而临时缓解 Windows TCP/IP 远程代码执行漏洞CVE-2024-38063)所引发的风险隐患。此外,为了方便操作,还特别编写了详尽的使用 PowerShell 禁用 IPv6 的具体步骤以供参考。例如,在一些对网络安全性要求较高的企业环境中,及时采取这种临时缓解措施,能够为后续的漏洞修复争取更多的时间和准备空间,有效降低在补丁未完全安装到位期间可能遭受攻击的概率。记下要禁用IPv6的适配器的名称。
利用批处理脚本快速关闭Windows IPv6防御CVE-2024-38063漏洞攻击
08-16 1054
为此,我们特别设计了一个简易批处理脚本,旨在帮助用户快速关闭Windows系统中的IPv6功能,以此作为临时缓解措施,增强系统安全性。近日,Windows 系统曝出严重安全漏洞,编号为 CVE-2024-38063,该漏洞影响所有受支持的 Windows 版本,包括 Windows 11、Windows 10 以及多个版本的 Windows Server。漏洞的 **CVSS3.1。攻击者可以通过反复向 Windows 设备发送特制的 IPv6 数据包,触发漏洞远程执行代码,无需用户交互或身份验证。
WinRAR<6.23 远程代码执行漏洞【Poc公开】(CVE-2023-38831) [有POC]
OSCS开源安全社区
08-28 400
墨知是国内首个专注软件供应链安全领域的技术社区,社区致力于为国内数百万技术人员提供全方位的软件供应链安全专业知识内容,包括软件供应链安全技术、漏洞情报、开源组件安全、SBOM、软件成分分析(SCA)、开源许可证合规等前沿技术及最佳实践。墨知通过促进知识共享、技术研究和合作交流,帮助组织和个人提高软件供应链的安全性,减少供应链攻击的风险,并保护软件生态系统的整体安全。
高危漏洞CVE-2024-38077的修复指南
Linux学习的那些事儿
08-13 9030
根据2024年8月9日,**国家信息安全漏洞共享平台**(CNVD)收录了Windows远程桌面许可服务远程代码执行漏洞**(CNVD-2024-34918,对应CVE-2024-38077)**。未经身份认证的攻击者可利用漏洞远程执行代码,获取服务器控制权限。目前,该漏洞的部分技术原理和概念验证伪代码已公开,厂商已发布安全更新完成修复。CNVD建议受影响的单位和用户安全即刻升级到最新版本。
【利用场景更新】Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞(CVE-2024-38063)安全风险通告...
smellycat000的专栏
08-16 190
●点击↑蓝字关注我们,获取更多安全风险通告漏洞概述漏洞名称Windows TCP/IP IPv6远程拒绝服务/代码执行漏洞漏洞编号QVD-2024-36353,CVE-2024-38063公开时间2024-08-13影响对象数量级千万级奇安信评级高危CVSS 3.1分数9.8威胁类型拒绝服务、代码执行利用可能性高POC状态未公开在野利用状态未发现EXP状态未公开技术细节状态未公开危害描述:未经身...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

饼干饿死了

三连和打赏总要留一个吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值