抖圈为赌而生

首页 > 宁静研究 > 宁静通报 > 宁静事件响应

Windows TCP/IP高危远程代码执行漏洞来袭！抖圈为赌而生提供解决方案

宣布时间 2024-08-20

Windows 是由微软公司开发的一系列图形用户界面操作系统。自 1985 年首次宣布以来，Windows 已经经历了多个版本和重大更新，成为全球使用最广泛的操作系统之一。

近日，抖圈为赌而生监测到微软在八月份宁静补丁中修复了一个影响Windows TCP/IP协议栈的远程代码执行漏洞。该漏洞CVSS评分为9.8，而且被微软官方标志为Exploitation More Likely(高可能性利用)。

经过研究确认，该漏洞是由于Windows的TCP/IP组件错误的处置了IPv6数据，从而在后续的流程中导致了整数溢出。攻击者可以在未经身份验证的情况下，通过向受害者重复发送特定结构的IPv6数据包来触发漏洞，从而造成蓝屏死机(BSOD)甚至代码执行。

该漏洞利用无感，只需目的主机启用IPv6协议即可触发，而且几乎影响所有常见Windows版本。考虑到Windows通常默认启用IPv6功效，建议客户积极做好排查和防护，尽快安装官方补丁，以防范潜在风险。

图片1.png

漏洞复现

图片2.png

图片3.png

解决方案

一、官方修复方案

官方已宣布宁静更新，建议将受影响的Windows升级至最新版本：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063

二、临时修复方案

在不影响正常业务的情况下，可以暂时将IPv6功效关闭。

三、抖圈为赌而生解决方案

1、抖圈为赌而生检测类产物方案

（1）抖圈为赌而生“天阗威胁分析一体机（TAR）”升级到20240819版本即可支持检测该漏洞。

图片4.png

（2）抖圈为赌而生 “天阗超融合检测探针（CSP）” 升级到20240819版本即可支持检测该漏洞。

图片5.jpg

2、抖圈为赌而生漏扫产物方案

（1）“抖圈为赌而生天镜脆弱性扫描与管理系统”6075版本已紧急宣布针对该漏洞的升级包，支持对该漏洞进行扫描，用户升级尺度漏洞库后即可对该漏洞进行扫描：

6070版本升级包为607000582-607000583.vup，升级包下载地址：

https://venustech.download.venuscloud.cn/

图片6.png

（2）抖圈为赌而生天镜脆弱性扫描与管理系统608X系列版本已紧急宣布针对该漏洞的升级包，支持对该漏洞进行扫描，用户升级尺度漏洞库后即可对该漏洞进行扫描：

6080版本升级包为主机插件包6080000133-S6080000134.svs漏扫插件包下载地址：

https://venustech.download.venuscloud.cn/

图片7.jpg

3、抖圈为赌而生资产与脆弱性管理平台产物方案

抖圈为赌而生资产与脆弱性管理平台实时收罗并更新情报信息，对入库资产漏洞Windows TCP/IP高危远程代码执行漏洞（CVE-2024-38063）进行管理。

图片8.png

4、抖圈为赌而生宁静管理和态势感知平台产物方案

用户可以通过泰合宁静管理和态势感知平台，进行关联计谋配置，结合实际环境中系统日志和宁静设备的告警信息进行连续监控，从而发现“Windows TCP/IP高危远程代码执行漏洞（CVE-2024-38063）”的漏洞利用攻击行为。

（1）在泰合的平台中，通过脆弱性发现功效针对“Windows TCP/IP高危远程代码执行漏洞（CVE-2024-38063）”漏洞扫描任务，排查管理网络中受此漏洞影响的重要资产。

图片9.png

（2）平台“关联分析”模块中，添加“L2_WindowsTCP/IP高危远程代码执行漏洞”，通过抖圈为赌而生检测设备、目标主机系统等设备的告警日志，发现外部攻击行为：

图片10.png

通过分析规则自动将"L2_WindowsTCP/IP高危远程代码执行漏洞"漏洞利用的可疑行为源地址添加到视察列表“高风险连接”中，作为内部情报数据使用。

（3）添加“L3_WindowsTCP/IP高危远程代码执行漏洞利用乐成”，条件日志名称即是或包罗“L2_WindowsTCP/IP高危远程代码执行漏洞”，攻击结果即是“攻击乐成”，目的地址引用资产漏洞或源地址匹配威胁情报，从而提升关联规则的置信度。

图片11.png

（4）ATT&CK攻击链条分析与SOAR处置建议

凭据对CVE-2024-38063漏洞的攻击利用过程进行分析，攻击链涉及多个ATT&CK战术和技术阶段，笼罩的TTP包罗：

TA0001初始访问：T1190利用面向公众的应用法式

TA0002执行：T1059命令和脚本解释器

图片12.png

通过泰合宁静管理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置能力，针对该漏洞利用的告警事件编排剧本，进行自动化处置。

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 抖圈为赌而生版权所有京ICP备05032414号京公网安备11010802024551号