【漏洞通报】Windows TCP/IP 远程代码执行漏洞
漏洞情况
近期,火山信安实验室监测到Windows操作系统中存在一个严重的TCP/IP远程代码执行漏洞。该漏洞源于Windows TCP/IP协议栈中的tcpip.sys组件,特别是其处理IPv6协议options的Ipv6pProcessOptions函数中存在整数溢出问题。这一发现引起了广泛的安全关注,因为攻击者可以利用此漏洞,通过发送特制的IPv6数据包,远程执行任意代码于受影响的系统上,且该攻击可绕过系统防火墙的限制。
0x01漏洞简介
此漏洞的核心在于Ipv6pProcessOptions函数在处理IPv6选项(Options)时未能正确验证输入数据,导致整数溢出。当攻击者精心构造并连续发送包含恶意IPv6选项的数据包时,可以触发此溢出,进而利用系统漏洞执行任意代码。由于Windows系统默认启用了IPv6协议栈,即便某些网络环境尚未分配IPv6地址,该漏洞仍可能被利用。
0x02影响范围
Windows Server 系列:从Windows Server 2008至最新的Windows Server 2022版本。
Windows 11:从21H2版本至最新的24H2版本。
Windows 10:从1607版本(即周年更新版)至最新的22H2版本。
0x03修复建议
为防范此漏洞带来的潜在威胁,强烈建议受影响的系统管理员和用户立即采取以下措施:
应用微软发布的安全补丁:Windows Server 和 Windows 10/11 用户应尽快安装对应的补丁。具体补丁编号包括KB5041573、KB5041571和KB5041580,这些补丁可通过Windows Update、WSUS(Windows Server Update Services)或微软更新目录手动下载并安装。
启用防火墙和入侵检测系统:虽然此漏洞可绕过某些防火墙规则,但启用强化的防火墙策略和入侵检测系统(IDS/IPS)仍能有效降低潜在风险。
网络隔离和访问控制:实施网络隔离策略,限制对关键系统的外部访问,尤其是未经授权的IPv6流量。
定期安全审计和更新:定期进行系统安全审计,确保所有系统和应用均已更新至最新版本,以防范已知漏洞。
备份和恢复计划:确保有有效的数据备份和恢复计划,以便在发生安全事件时迅速恢复业务运行。