首頁 > 安全研究 > 安全通報 > 安全事件響應

Windows TCP/IP高危遠程代碼執行漏洞來襲!啟明星辰提供解決方案

發布時間 2024-08-20

Windows 是由微軟公司開發的一系列圖形用戶界面操作系統。自 1985 年首次發布以來,Windows 已經經歷了多個版本和重大更新,成為全球使用最廣泛的操作系統之一。


近日,啟明星辰監測到微軟在八月份安全補丁中修復了一個影響Windows TCP/IP協議棧的遠程代碼執行漏洞。該漏洞CVSS評分為9.8,并且被微軟官方標記為Exploitation More Likely(高可能性利用)。


經過研究確認,該漏洞是由于Windows的TCP/IP組件錯誤的處理了IPv6數據,從而在后續的流程中導致了整數溢出。攻擊者可以在未經身份驗證的情況下,通過向受害者反復發送特定結構的IPv6數據包來觸發漏洞,從而造成藍屏死機(BSOD)甚至代碼執行。


該漏洞利用無感,只需目的主機啟用IPv6協議即可觸發,并且幾乎影響所有常見Windows版本??紤]到Windows通常默認啟用IPv6功能,建議客戶積極做好排查和防護,盡快安裝官方補丁,以防范潛在風險。


圖片1.png


漏洞復現


圖片2.png

圖片3.png


解決方案


一、官方修復方案


官方已發布安全更新,建議將受影響的Windows升級至最新版本:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063


二、臨時修復方案


在不影響正常業務的情況下,可以暫時將IPv6功能關閉。


三、啟明星辰解決方案


1、啟明星辰檢測類產品方案


(1)啟明星辰“天闐威脅分析一體機(TAR)”升級到20240819版本即可支持檢測該漏洞。


圖片4.png


(2)啟明星辰 “天闐超融合檢測探針(CSP)” 升級到20240819版本即可支持檢測該漏洞。


圖片5.jpg


2、啟明星辰漏掃產品方案


(1)“啟明星辰天鏡脆弱性掃描與管理系統”6075版本已緊急發布針對該漏洞的升級包,支持對該漏洞進行掃描,用戶升級標準漏洞庫后即可對該漏洞進行掃描:


6070版本升級包為607000582-607000583.vup,升級包下載地址:

https://venustech.download.venuscloud.cn/


圖片6.png


(2)啟明星辰天鏡脆弱性掃描與管理系統608X系列版本已緊急發布針對該漏洞的升級包,支持對該漏洞進行掃描,用戶升級標準漏洞庫后即可對該漏洞進行掃描:


6080版本升級包為主機插件包6080000133-S6080000134.svs漏掃插件包下載地址:

https://venustech.download.venuscloud.cn/


圖片7.jpg


3、啟明星辰資產與脆弱性管理平臺產品方案


啟明星辰資產與脆弱性管理平臺實時采集并更新情報信息,對入庫資產漏洞Windows TCP/IP高危遠程代碼執行漏洞(CVE-2024-38063)進行管理。


圖片8.png


4、啟明星辰安全管理和態勢感知平臺產品方案


用戶可以通過泰合安全管理和態勢感知平臺,進行關聯策略配置,結合實際環境中系統日志和安全設備的告警信息進行持續監控,從而發現“Windows TCP/IP高危遠程代碼執行漏洞(CVE-2024-38063)”的漏洞利用攻擊行為。


(1)在泰合的平臺中,通過脆弱性發現功能針對“Windows TCP/IP高危遠程代碼執行漏洞(CVE-2024-38063)”漏洞掃描任務,排查管理網絡中受此漏洞影響的重要資產。


圖片9.png


(2)平臺“關聯分析”模塊中,添加“L2_WindowsTCP/IP高危遠程代碼執行漏洞”,通過啟明星辰檢測設備、目標主機系統等設備的告警日志,發現外部攻擊行為:


圖片10.png


通過分析規則自動將"L2_WindowsTCP/IP高危遠程代碼執行漏洞"漏洞利用的可疑行為源地址添加到觀察列表“高風險連接”中,作為內部情報數據使用。


(3)添加“L3_WindowsTCP/IP高危遠程代碼執行漏洞利用成功”,條件日志名稱等于或包含“L2_WindowsTCP/IP高危遠程代碼執行漏洞”,攻擊結果等于“攻擊成功”,目的地址引用資產漏洞或源地址匹配威脅情報,從而提升關聯規則的置信度。


圖片11.png


(4)ATT&CK攻擊鏈條分析與SOAR處置建議


根據對CVE-2024-38063漏洞的攻擊利用過程進行分析,攻擊鏈涉及多個ATT&CK戰術和技術階段,覆蓋的TTP包括:


TA0001初始訪問:T1190利用面向公眾的應用程序

TA0002執行:T1059命令和腳本解釋器


圖片12.png


通過泰合安全管理和態勢感知平臺內置SOAR自動化或半自動化編排聯動響應處置能力,針對該漏洞利用的告警事件編排劇本,進行自動化處置。

上一篇 下一篇