Windows TCP/IP高危远程代码执行漏洞来袭!东森平台提供解决方案

宣布时间 2024-08-20

Windows 是由微软公司开发的一系列图形用户界面操作系统。自 1985 年首次宣布以来,Windows 已经经历了多个版本和重大更新,成为全球使用最广泛的操作系统之一。


近日,东森平台监测到微软在八月份宁静补丁中修复了一个影响Windows TCP/IP协议栈的远程代码执行漏洞。该漏洞CVSS评分为9.8,而且被微软官方标志为Exploitation More Likely(高可能性利用)。


经过研究确认,该漏洞是由于Windows的TCP/IP组件错误的处置了IPv6数据,从而在后续的流程中导致了整数溢出。攻击者可以在未经身份验证的情况下,通过向受害者重复发送特定结构的IPv6数据包来触发漏洞,从而造成蓝屏死机(BSOD)甚至代码执行。


该漏洞利用无感,只需目的主机启用IPv6协议即可触发,而且几乎影响所有常见Windows版本�?悸堑絎indows通常默认启用IPv6功效,建议客户积极做好排查和防护,尽快安装官方补丁,以防范潜在风险。


图片1.png


漏洞复现


图片2.png

图片3.png


解决方案


一、官方修复方案


官方已宣布宁静更新,建议将受影响的Windows升级至最新版本:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063


二、临时修复方案


在不影响正常业务的情况下,可以暂时将IPv6功效关闭。


三、东森平台解决方案


1、东森平台检测类产物方案


(1)东森平台“天阗威胁分析一体机(TAR)”升级到20240819版本即可支持检测该漏洞。


图片4.png


(2)东森平台 “天阗超融合检测探针(CSP)” 升级到20240819版本即可支持检测该漏洞。


图片5.jpg


2、东森平台漏扫产物方案


(1)“东森平台天镜脆弱性扫描与管理系统”6075版本已紧急宣布针对该漏洞的升级包,支持对该漏洞进行扫描,用户升级尺度漏洞库后即可对该漏洞进行扫描:


6070版本升级包为607000582-607000583.vup,升级包下载地址:

https://venustech.download.venuscloud.cn/


图片6.png


(2)东森平台天镜脆弱性扫描与管理系统608X系列版本已紧急宣布针对该漏洞的升级包,支持对该漏洞进行扫描,用户升级尺度漏洞库后即可对该漏洞进行扫描:


6080版本升级包为主机插件包6080000133-S6080000134.svs漏扫插件包下载地址:

https://venustech.download.venuscloud.cn/


图片7.jpg


3、东森平台资产与脆弱性管理平台产物方案


东森平台资产与脆弱性管理平台实时收罗并更新情报信息,对入库资产漏洞Windows TCP/IP高危远程代码执行漏洞(CVE-2024-38063)进行管理。


图片8.png


4、东森平台宁静管理和态势感知平台产物方案


用户可以通过泰合宁静管理和态势感知平台,进行关联计谋配置,结合实际环境中系统日志和宁静设备的告警信息进行连续监控,从而发现“Windows TCP/IP高危远程代码执行漏洞(CVE-2024-38063)”的漏洞利用攻击行为。


(1)在泰合的平台中,通过脆弱性发现功效针对“Windows TCP/IP高危远程代码执行漏洞(CVE-2024-38063)”漏洞扫描任务,排查管理网络中受此漏洞影响的重要资产。


图片9.png


(2)平台“关联分析”�?橹�,添加“L2_WindowsTCP/IP高危远程代码执行漏洞”,通过东森平台检测设备、目标主机系统等设备的告警日志,发现外部攻击行为:


图片10.png


通过分析规则自动将"L2_WindowsTCP/IP高危远程代码执行漏洞"漏洞利用的可疑行为源地址添加到视察列表“高风险连接”中,作为内部情报数据使用。


(3)添加“L3_WindowsTCP/IP高危远程代码执行漏洞利用乐成”,条件日志名称即是或包罗“L2_WindowsTCP/IP高危远程代码执行漏洞”,攻击结果即是“攻击乐成”,目的地址引用资产漏洞或源地址匹配威胁情报,从而提升关联规则的置信度。


图片11.png


(4)ATT&CK攻击链条分析与SOAR处置建议


凭据对CVE-2024-38063漏洞的攻击利用过程进行分析,攻击链涉及多个ATT&CK战术和技术阶段,笼罩的TTP包罗:


TA0001初始访问:T1190利用面向公众的应用法式

TA0002执行:T1059命令和脚本解释器


图片12.png


通过泰合宁静管理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置能力,针对该漏洞利用的告警事件编排剧本,进行自动化处置。