早前 Windows 10/11 以及 Windows Server 系统出现高危安全漏洞,该漏洞位于 IPv6 网络堆栈中,攻击者借助漏洞只需要向目标设备发送特制的数据包即可触发远程代码执行,不需要用户进行任何交互。
鉴于远程代码执行和无需交互等特性,这个漏洞显然危害程度非常高,在 8 月份发布的安全更新中微软已经修复该漏洞,用户只需要安装补丁后即可免疫。
在漏洞安全公告里微软强调没有证据表明该漏洞已经遭到黑客利用,但微软也认为鉴于此漏洞的特性,肯定会有人找到漏洞的利用方法,然后现在就来了。
在 GitHub 上已经有开发者推出针对该漏洞的概念验证 (PoC),有了概念验证意味着开发者已经搞清楚漏洞的基本利用方式,接下来就是利用漏洞实现更多功能。
开发者 @Ynwarcs 称目前概念验证代码相当不稳定,但复现漏洞最简单的方法是在 bcdedit /set debug on 目标系统上使用并重启目标系统或虚拟机。
该操作将会启用默认网卡驱动程序 kdnic.sys,该驱动程序「非常乐意」配合特制数据包,如果要尝试在不同的设置上复现漏洞,则需要让目标系统处于可以合并发送数据包的位置。
开发者提供的脚本中还有多个字段可以选择,其中最重要的就是目标系统的 IPv6 地址,其次还可以发送多个不同的数据包批次,数据包越多造成的堆栈问题也越多,触发漏洞的可能性也越高。
项目地址:https://github.com/ynwarcs/CVE-2024-38063
相关内容:
- 微软今日修复 89 个安全漏洞含多个已被黑客利用的零日漏洞 建议用户尽快更新系统Windows TCP/IP漏洞引起业界关注 只需发送特制IPv6数据库即可远程代码执行由于 Windows TCP/IP 漏洞危害过于巨大 研究人员短时间内不会公开细节
如果你使用的网络环境提供 IPv6 地址,请务必记得将所有 Windows 系统全部安装最新的安全更新以封堵漏洞,如果暂时无法安装更新,则可以考虑直接禁用网络中的 IPv6 设置,暂时只使用 IPv4 地址。
另外 Windows 防火墙配置是不能阻挡该漏洞引发的攻击,因为数据库在抵达防火墙前就已经被触发,所以在防火墙上设置过滤 IPv6 出入站流量是没有意义的。
