近日,微软发布 8 月补丁日安全更新,以修复 Windows TCP/IP 远程代码执行漏洞(CVE-2024-38063)。这一漏洞影响广泛,可能给众多 Windows 用户带来严重安全隐患。
一、危害描述
未经身份验证的远程攻击者可通过发送特制 IPv6 数据包,让 Windows 机器蓝屏崩溃,甚至存在远程代码执行的可能性,使易受攻击的系统完全被攻陷。
二、漏洞详情
- 影响组件:Windows Server 是微软专为服务器环境设计的操作系统系列,为企业和组织提供稳定可靠的服务器平台。Windows TCP/IP 组件作为 Windows 操作系统的核心网络功能之一,负责实现网络通信协议。
- 漏洞描述:在 Windows TCP/IP 组件中发现了一个整数下溢漏洞,可能触发缓冲区溢出。未经身份验证的远程攻击者发送特制 IPv6 数据包到目标 Windows 系统机器,可导致目标蓝屏崩溃,精心构造请求理论上存在远程代码执行的可能性。该漏洞影响所有受 IPv6 支持的 Windows 版本,包括即将发布的 Windows 11 版本 24H2。禁用 IPv6 的系统不受此漏洞影响,但启用 IPv6 的系统利用风险较大。微软标记此漏洞较大可能被利用,鉴于其影响范围广,建议用户尽快自查及防护,强烈建议马上安装补丁。
三、影响范围
受影响的版本众多,包括 Windows 11 Version 24H2 for x64-based Systems、Windows 11 Version 24H2 for ARM64-based Systems 等多个版本的 Windows 系统。具体版本可参考以下内容:
Windows 11 Version 24H2 for x64-based Systems
Windows 11 Version 24H2 for ARM64-based Systems
……
Windows 11 version 21H2 for x64-based Systems
四、处置建议
- 安全更新:使用奇安信天擎的客户可通过奇安信天擎控制台或客户端一键更新修补相关漏洞。也可采用官方解决方案及缓解方案防护此漏洞。
- 缓解措施:对于 IPv6 并非必不可少的系统,可禁用 IPv6 作为临时缓解措施,直到完全应用补丁。具体步骤为:打开“设置”>“网络和 Internet”>“更改适配器选项”,根据电脑连接类型找到相应连接,点击“属性”,在弹出窗口中选择“禁用”IPv6 选项,点击“保存”并重启电脑。验证 IPv6 是否已禁用可打开命令提示符,输入“ipconfig”并回车,检查网络适配器配置。
- Windows 自动更新:Windows 系统默认启用 Microsoft Update,当检测到可用更新时会自动下载更新并在下一次启动时安装。也可通过以下步骤快速安装更新:点击“开始菜单”进入“设置”,选择“更新和安全”进入“Windows 更新”,选择“检查更新”,等待系统自动检查并下载可用更新,重启计算机安装更新。系统重新启动后,可通过“Windows 更新”>“查看更新历史记录”查看是否成功安装更新。对于未成功安装的更新,可点击更新名称进入微软官方更新描述链接,点击最新的 SSU 名称并在新链接中点击“Microsoft 更新目录”,选择适用于目标系统的补丁进行下载安装。
- 手动安装补丁:对于不能自动更新的系统版本,可参考以下链接下载适用于该系统的补丁并安装:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063。
