OG东方厅

首页 > 安全钻研 > 安全传递 > 安全事务响应

Windows TCP/IP高危远程代码执行缝隙来袭！！OG东方厅提供解决规划

颁布功夫 2024-08-20

Windows 是由微软公司开发的一系列图形用户界面操作系统。自 1985 年初次颁布以来，，Windows 已经经历了多个版本和重大更新，，成为全球使用最宽泛的操作系统之一。

近日，，OG东方厅监测到微软在八月份安全补丁中修复了一个影响Windows TCP/IP和谈栈的远程代码执行缝隙。该缝隙CVSS评分为9.8，，并且被微软官方象征为Exploitation More Likely(高可能性利用)。

经过钻研确认，，该缝隙是由于Windows的TCP/IP组件谬误的处置了IPv6数据，，从而在后续的流程中导致了整数溢出。攻击者能够在未经身份验证的情况下，，通过向受害者反复发送特定结构的IPv6数据包来触发缝隙，，从而造成蓝屏死机(BSOD)甚至代码执行。

该缝隙利用无感，，只需主张主机启用IPv6和谈即可触发，，并且险些影响所有常见Windows版本�Ｋ伎嫉絎indows通常默认启用IPv6职能，，建议客户积极做好排查和防护，，尽快装置官方补丁，，以防备潜在风险。

图片1.png

缝隙复现

图片2.png

图片3.png

解决规划

一、、官方修复规划

官方已颁布安全更新，，建议将受影响的Windows升级至最新版本：：：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063

二、、一时修复规划

在不影响正常业务的情况下，，能够临时将IPv6职能关闭。

三、、OG东方厅解决规划

1、、OG东方厅检测类产品规划

（1）OG东方厅“天阗威胁分析一体机（TAR）”升级到20240819版本即可支持检测该缝隙。

图片4.png

（2）OG东方厅 “天阗超融合检测探针（CSP）” 升级到20240819版本即可支持检测该缝隙。

图片5.jpg

2、、OG东方厅漏扫产品规划

（1）“OG东方厅天镜脆弱性扫描与治理系统”6075版本已垂危颁布针对该缝隙的升级包，，支持对该缝隙进行扫描，，用户升级尺度缝隙库后即可对该缝隙进行扫描：：：

6070版本升级包为607000582-607000583.vup，，升级包下载地址：：：

https://venustech.download.venuscloud.cn/

图片6.png

（2）OG东方厅天镜脆弱性扫描与治理系统608X系列版本已垂危颁布针对该缝隙的升级包，，支持对该缝隙进行扫描，，用户升级尺度缝隙库后即可对该缝隙进行扫描：：：

6080版本升级包为主机插件包6080000133-S6080000134.svs漏扫插件包下载地址：：：

https://venustech.download.venuscloud.cn/

图片7.jpg

3、、OG东方厅资产与脆弱性治理平台产品规划

OG东方厅资产与脆弱性治理平台实时采集并更新谍报信息，，对入库资产缝隙Windows TCP/IP高危远程代码执行缝隙（CVE-2024-38063）进行治理。

图片8.png

4、、OG东方厅安全治理和态势感知平台产品规划

用户能够通过泰合安全治理和态势感知平台，，进行关联战术配置，，结合现实环境中系统日志和安全设备的告警信息进行持续监控，，从而发现“Windows TCP/IP高危远程代码执行缝隙（CVE-2024-38063）”的缝隙利用攻击行为。

（1）在泰合的平台中，，通过脆弱性发现职能针对“Windows TCP/IP高危远程代码执行缝隙（CVE-2024-38063）”缝隙扫描工作，，排查治理网络中受此缝隙影响的重要资产。

图片9.png

（2）平台“关联分析”�？橹�，，增长“L2_WindowsTCP/IP高危远程代码执行缝隙”，，通过OG东方厅检测设备、、指标主机系统等设备的告警日志，，发现外部攻击行为：：：

图片10.png

通过度析规定自动将"L2_WindowsTCP/IP高危远程代码执行缝隙"缝隙利用的可疑行为源地址增长到观察列表“高风险衔接”中，，作为内部谍报数据使用。

（3）增长“L3_WindowsTCP/IP高危远程代码执行缝隙利用成功”，，前提日志名称等于或蕴含“L2_WindowsTCP/IP高危远程代码执行缝隙”，，攻击了局等于“攻击成功”，，主张地址引用资产缝隙或源地址匹配威胁谍报，，从而提升关联规定的相信度。

图片11.png

（4）ATT&CK攻击链条分析与SOAR措置建议

凭据对CVE-2024-38063缝隙的攻击利用过程进行分析，，攻击链涉及多个ATT&CK战术和技术阶段，，覆盖的TTP蕴含：：：

TA0001初始接见：：：T1190利用面向公家的利用法式

TA0002执行：：：T1059号令和剧本诠释器

图片12.png

通过泰合安全治理和态势感知平台内置SOAR自动化或半自动化编排联动响应措置能力，，针对该缝隙利用的告警事务编排剧本，，进行自动化措置。

上一篇下一篇

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合众数据书生电子云子可信

司法申明

Copyright ? OG东方厅版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】