Windows TCP/IP高危远程代码执行漏洞来袭!澳门新莆京游戏大厅提供解决方案
发布时间 2024-08-20Windows 是由微软公司开发的一系列图形用户界面操作系统。自 1985 年首次发布以来,Windows 已经经历了多个版本和重大更新,成为全球使用最广泛的操作系统之一。
近日,澳门新莆京游戏大厅监测到微软在八月份安全补丁中修复了一个影响Windows TCP/IP协议栈的远程代码执行漏洞。该漏洞CVSS评分为9.8,并且被微软官方标记为Exploitation More Likely(高可能性利用)。
经过研究确认,该漏洞是由于Windows的TCP/IP组件错误的处理了IPv6数据,从而在后续的流程中导致了整数溢出。攻击者可以在未经身份验证的情况下,通过向受害者反复发送特定结构的IPv6数据包来触发漏洞,从而造成蓝屏死机(BSOD)甚至代码执行。
该漏洞利用无感,只需目的主机启用IPv6协议即可触发,并且几乎影响所有常见Windows版本。考虑到Windows通常默认启用IPv6功能,建议客户积极做好排查和防护,尽快安装官方补丁,以防范潜在风险。
漏洞复现
解决方案
一、官方修复方案
官方已发布安全更新,建议将受影响的Windows升级至最新版本:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063
二、临时修复方案
在不影响正常业务的情况下,可以暂时将IPv6功能关闭。
三、澳门新莆京游戏大厅解决方案
1、澳门新莆京游戏大厅检测类产品方案
(1)澳门新莆京游戏大厅“天阗威胁分析一体机(TAR)”升级到20240819版本即可支持检测该漏洞。
(2)澳门新莆京游戏大厅 “天阗超融合检测探针(CSP)” 升级到20240819版本即可支持检测该漏洞。
2、澳门新莆京游戏大厅漏扫产品方案
(1)“澳门新莆京游戏大厅天镜脆弱性扫描与管理系统”6075版本已紧急发布针对该漏洞的升级包,支持对该漏洞进行扫描,用户升级标准漏洞库后即可对该漏洞进行扫描:
6070版本升级包为607000582-607000583.vup,升级包下载地址:
https://venustech.download.venuscloud.cn/
(2)澳门新莆京游戏大厅天镜脆弱性扫描与管理系统608X系列版本已紧急发布针对该漏洞的升级包,支持对该漏洞进行扫描,用户升级标准漏洞库后即可对该漏洞进行扫描:
6080版本升级包为主机插件包6080000133-S6080000134.svs漏扫插件包下载地址:
https://venustech.download.venuscloud.cn/
3、澳门新莆京游戏大厅资产与脆弱性管理平台产品方案
澳门新莆京游戏大厅资产与脆弱性管理平台实时采集并更新情报信息,对入库资产漏洞Windows TCP/IP高危远程代码执行漏洞(CVE-2024-38063)进行管理。
4、澳门新莆京游戏大厅安全管理和态势感知平台产品方案
用户可以通过泰合安全管理和态势感知平台,进行关联策略配置,结合实际环境中系统日志和安全设备的告警信息进行持续监控,从而发现“Windows TCP/IP高危远程代码执行漏洞(CVE-2024-38063)”的漏洞利用攻击行为。
(1)在泰合的平台中,通过脆弱性发现功能针对“Windows TCP/IP高危远程代码执行漏洞(CVE-2024-38063)”漏洞扫描任务,排查管理网络中受此漏洞影响的重要资产。
(2)平台“关联分析”模块中,添加“L2_WindowsTCP/IP高危远程代码执行漏洞”,通过澳门新莆京游戏大厅检测设备、目标主机系统等设备的告警日志,发现外部攻击行为:
通过分析规则自动将"L2_WindowsTCP/IP高危远程代码执行漏洞"漏洞利用的可疑行为源地址添加到观察列表“高风险连接”中,作为内部情报数据使用。
(3)添加“L3_WindowsTCP/IP高危远程代码执行漏洞利用成功”,条件日志名称等于或包含“L2_WindowsTCP/IP高危远程代码执行漏洞”,攻击结果等于“攻击成功”,目的地址引用资产漏洞或源地址匹配威胁情报,从而提升关联规则的置信度。
(4)ATT&CK攻击链条分析与SOAR处置建议
根据对CVE-2024-38063漏洞的攻击利用过程进行分析,攻击链涉及多个ATT&CK战术和技术阶段,覆盖的TTP包括:
TA0001初始访问:T1190利用面向公众的应用程序
TA0002执行:T1059命令和脚本解释器
通过泰合安全管理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置能力,针对该漏洞利用的告警事件编排剧本,进行自动化处置。
京公网安备11010802024551号