鉴黑担保网

首页 > 清静研究 > 清静转达 > 清静事务响应

Windows TCP/IP高危远程代码执行误差来袭！鉴黑担保网提供解决计划

宣布时间 2024-08-20

Windows 是由微软公司开发的一系列图形用户界面操作系统。。。。。自 1985 年首次宣布以来，，，，，，，Windows 已经履历了多个版本和重大更新，，，，，，，成为全球使用最普遍的操作系统之一。。。。。

克日，，，，，，，鉴黑担保网监测到微软在八月份清静补丁中修复了一个影响Windows TCP/IP协议栈的远程代码执行误差。。。。。该误差CVSS评分为9.8，，，，，，，并且被微软官方标记为Exploitation More Likely(高可能性使用)。。。。。

经由研究确认，，，，，，，该误差是由于Windows的TCP/IP组件过失的处置惩罚了IPv6数据，，，，，，，从而在后续的流程中导致了整数溢出。。。。。攻击者可以在未经身份验证的情形下，，，，，，，通过向受害者重复发送特定结构的IPv6数据包来触发误差，，，，，，，从而造成蓝屏死机(BSOD)甚至代码执行。。。。。

该误差使用无感，，，，，，，只需目的主机启用IPv6协议即可触发，，，，，，，并且险些影响所有常见Windows版本。。。。�？？？？Ｋ剂康絎indows通常默认启用IPv6功效，，，，，，，建议客户起劲做好排查和防护，，，，，，，尽快装置官方补丁，，，，，，，以提防潜在危害。。。。。

图片1.png

误差复现

图片2.png

图片3.png

解决计划

一、官方修复计划

官方已宣布清静更新，，，，，，，建议将受影响的Windows升级至最新版本：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063

二、暂时修复计划

在不影响正常营业的情形下，，，，，，，可以暂时将IPv6功效关闭。。。。。

三、鉴黑担保网解决计划

1、鉴黑担保网检测类产品计划

（1）鉴黑担保网“天阗威胁剖析一体机（TAR）”升级到20240819版本即可支持检测该误差。。。。。

图片4.png

（2）鉴黑担保网 “天阗超融合检测探针（CSP）” 升级到20240819版本即可支持检测该误差。。。。。

图片5.jpg

2、鉴黑担保网漏扫产品计划

（1）“鉴黑担保网天镜懦弱性扫描与治理系统”6075版本已紧迫宣布针对该误差的升级包，，，，，，，支持对该误差举行扫描，，，，，，，用户升级标准误差库后即可对该误差举行扫描：

6070版本升级包为607000582-607000583.vup，，，，，，，升级包下载地点：

https://venustech.download.venuscloud.cn/

图片6.png

（2）鉴黑担保网天镜懦弱性扫描与治理系统608X系列版本已紧迫宣布针对该误差的升级包，，，，，，，支持对该误差举行扫描，，，，，，，用户升级标准误差库后即可对该误差举行扫描：

6080版本升级包为主机插件包6080000133-S6080000134.svs漏扫插件包下载地点：

https://venustech.download.venuscloud.cn/

图片7.jpg

3、鉴黑担保网资产与懦弱性治理平台产品计划

鉴黑担保网资产与懦弱性治理平台实时收罗并更新情报信息，，，，，，，对入库资产误差Windows TCP/IP高危远程代码执行误差（CVE-2024-38063）举行治理。。。。。

图片8.png

4、鉴黑担保网清静治理和态势感知平台产品计划

用户可以通过泰合清静治理和态势感知平台，，，，，，，举行关联战略设置，，，，，，，连系现真相形中系统日志和清静装备的告警信息举行一连监控，，，，，，，从而发明“Windows TCP/IP高危远程代码执行误差（CVE-2024-38063）”的误差使用攻击行为。。。。。

（1）在泰合的平台中，，，，，，，通过懦弱性发明功效针对“Windows TCP/IP高危远程代码执行误差（CVE-2024-38063）”误差扫描使命，，，，，，，排查治理网络中受此误差影响的主要资产。。。。。

图片9.png

（2）平台“关联剖析”�？？？？？橹�，，，，，，，添加“L2_WindowsTCP/IP高危远程代码执行误差”，，，，，，，通过鉴黑担保网检测装备、目的主机系统等装备的告警日志，，，，，，，发明外部攻击行为：

图片10.png

通太过析规则自动将"L2_WindowsTCP/IP高危远程代码执行误差"误差使用的可疑行为源地点添加到视察列表“高危害毗连”中，，，，，，，作为内部情报数据使用。。。。。

（3）添加“L3_WindowsTCP/IP高危远程代码执行误差使用乐成”，，，，，，，条件日志名称即是或包括“L2_WindowsTCP/IP高危远程代码执行误差”，，，，，，，攻击效果即是“攻击乐成”，，，，，，，目的地点引用资产误差或源地点匹配威胁情报，，，，，，，从而提升关联规则的置信度。。。。。

图片11.png

（4）ATT&CK攻击链条剖析与SOAR处置惩罚建议

凭证对CVE-2024-38063误差的攻击使用历程举行剖析，，，，，，，攻击链涉及多个ATT&CK战术和手艺阶段，，，，，，，笼罩的TTP包括：

TA0001初始会见：T1190使用面向公众的应用程序

TA0002执行：T1059下令和剧本诠释器

图片12.png

通过泰合清静治理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置惩罚能力，，，，，，，针对该误差使用的告警事务编排剧本，，，，，，，举行自动化处置惩罚。。。。。

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Copyright ? 鉴黑担保网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】