8827太阳集团

首页 > 安全钻研 > 安全传递 > 安全事务响应

Windows TCP/IP高危远程代码执行缝隙来袭！8827太阳集团提供解决规划

颁布功夫 2024-08-20

Windows 是由微软公司开发的一系列图形用户界面操作系统。。。。。。。自 1985 年初次颁布以来，，，，，Windows 已经经历了多个版本和沉大更新，，，，，成为全球使用最宽泛的操作系统之一。。。。。。。

近日，，，，，8827太阳集团监测到微软在八月份安全补丁中建复了一个影响Windows TCP/IP和谈栈的远程代码执行缝隙。。。。。。。该缝隙CVSS评分为9.8，，，，，并且被微软官方象征为Exploitation More Likely(高可能性利用)。。。。。。。

经过钻研确认，，，，，该缝隙是由于Windows的TCP/IP组件谬误的处置了IPv6数据，，，，，从而在后续的流程中导致了整数溢出。。。。。。。攻击者能够在未经身份验证的情况下，，，，，通过向受害者反复发送特定结构的IPv6数据包来触发缝隙，，，，，从而造成蓝屏死机(BSOD)甚至代码执杏祝。。。。。。

该缝隙利用无感，，，，，只需主张主机启用IPv6和谈即可触发，，，，，并且险些影响所有常见Windows版本。。。。。。�？？？？Ｋ伎嫉絎indows通常默认启用IPv6职能，，，，，建议客户积极做好排查和防护，，，，，尽快装置官方补丁�。。。。。。�，，，，以防备潜在风险。。。。。。。

图片1.png

缝隙复现

图片2.png

图片3.png

解决规划

一、官方建复规划

官方已颁布安全更新，，，，，建议将受影响的Windows升级至最新版本：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063

二、一时建复规划

在不影响正常业务的情况下，，，，，能够临时将IPv6职能关关。。。。。。。

三、8827太阳集团解决规划

1、8827太阳集团检测类产品规划

（1）8827太阳集团“天阗威胁分析一体机（TAR）”升级到20240819版本即可支持检测该缝隙。。。。。。。

图片4.png

（2）8827太阳集团 “天阗超融合检测探针（CSP）” 升级到20240819版本即可支持检测该缝隙。。。。。。。

图片5.jpg

2、8827太阳集团漏扫产品规划

（1）“8827太阳集团天镜脆弱性扫描与治理系统”6075版本已垂危颁布针对该缝隙的升级包，，，，，支持对该缝隙进行扫描，，，，，用户升级尺度缝隙库后即可对该缝隙进行扫描：

6070版本升级包为607000582-607000583.vup，，，，，升级包下载地址：

https://venustech.download.venuscloud.cn/

图片6.png

（2）8827太阳集团天镜脆弱性扫描与治理系统608X系列版本已垂危颁布针对该缝隙的升级包，，，，，支持对该缝隙进行扫描，，，，，用户升级尺度缝隙库后即可对该缝隙进行扫描：

6080版本升级包为主机插件包6080000133-S6080000134.svs漏扫插件包下载地址：

https://venustech.download.venuscloud.cn/

图片7.jpg

3、8827太阳集团资产与脆弱性治理平台产品规划

8827太阳集团资产与脆弱性治理平台实时采集并更新谍报信息，，，，，对入库资产缝隙Windows TCP/IP高危远程代码执行缝隙（CVE-2024-38063）进行治理。。。。。。。

图片8.png

4、8827太阳集团安全治理和态势感知平台产品规划

用户能够通过泰合安全治理和态势感知平台，，，，，进行关联战术配置，，，，，结合现实环境中系统日志和安全设备的告警信息进行持续监控，，，，，从而发现“Windows TCP/IP高危远程代码执行缝隙（CVE-2024-38063）”的缝隙利用攻击行为。。。。。。。

（1）在泰合的平台中，，，，，通过脆弱性发现职能针对“Windows TCP/IP高危远程代码执行缝隙（CVE-2024-38063）”缝隙扫描工作，，，，，排查治理网络中受此缝隙影响的沉要资产。。。。。。。

图片9.png

（2）平台“关联分析”�？？？？？橹校�，，，，增长“L2_WindowsTCP/IP高危远程代码执行缝隙”，，，，，通过8827太阳集团检测设备、指标主机系统等设备的告警日志，，，，，发现表部攻击行为：

图片10.png

通过度析规定自动将"L2_WindowsTCP/IP高危远程代码执行缝隙"缝隙利用的可疑行为源地址增长到观察列表“高风险衔接”中，，，，，作为内部谍报数据使用。。。。。。。

（3）增长“L3_WindowsTCP/IP高危远程代码执行缝隙利用成功”，，，，，前提日志名称蹬宗或蕴含“L2_WindowsTCP/IP高危远程代码执行缝隙”，，，，，攻击了局蹬宗“攻击成功”，，，，，主张地址引用资产缝隙或源地址匹配威胁谍报，，，，，从而提升关联规定的相信度。。。。。。。

图片11.png

（4）ATT&CK攻击链条分析与SOAR措置建议

凭据对CVE-2024-38063缝隙的攻击利用过程进行分析，，，，，攻击链涉及多个ATT&CK战术和技术阶段，，，，，覆盖的TTP蕴含：

TA0001初始接见：T1190利用面向公家的利用法式

TA0002执行：T1059号令和剧本诠释器

图片12.png

通过泰合安全治理和态势感知平台内置SOAR自动化或半自动化编排联动响应措置能力，，，，，针对该缝隙利用的告警事务编排剧本，，，，，进行自动化措置。。。。。。。

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】