Microsoft Windows IPv6 TCP/IP-Sicherheitslücke bei der Remotecodeausführung [CVE-2024-38063]
Datum der Offenlegung: August 13, 2024
CVE-ID und CVSS-Score: CVE-2024-38063: CVSS 9.8 (Kritisch)
Beschreibung des Problems: Es handelt sich um eine Zero-Click-Schwachstelle im IPv6-TCP/IP-Stack von Microsoft Windows, die es Angreifern ermöglicht, aus der Ferne beliebigen Code auf den betroffenen Systemen auszuführen, ohne dass der Benutzer eingreifen muss.
Asset-Beschreibung: Das Problem betrifft Microsoft Windows-Versionen, die IPv6 unterstützen. Es ist besonders riskant für mit dem Internet verbundene Windows-Server und Benutzergeräte mit aktiviertem IPv6.
Auswirkungen der Schwachstelle: Wenn diese Schwachstelle erfolgreich ausgenutzt wird, können Angreifer beliebigen Code aus der Ferne ausführen, was zu einer vollständigen Kompromittierung des Systems, unbefugtem Datenzugriff und/oder der Preisgabe vertraulicher Informationen führen kann.
Details zur Ausnutzung: Die Schwachstelle befindet sich in der IPv6 TCP/IP-Komponente des Windows-Netzwerkstapels. Angreifer können diese Sicherheitslücke ausnutzen, indem sie speziell gestaltete IPv6-Pakete an einen Zielcomputer senden und so RCE ohne Benutzerinteraktion ermöglichen.
Patch-Verfügbarkeit: Microsoft hat ein Sicherheitsupdate für diese Sicherheitslücke als Teil des Patch Tuesday im August 2024 veröffentlicht. Für Unternehmen ist es wichtig, dieses Update umgehend zu installieren, um die Risiken zu minimieren. Wenn ein sofortiges Patchen nicht möglich ist, kann die Deaktivierung von IPv6 auf den betroffenen Windows-Systemen dazu beitragen, die Angriffsfläche zu verringern, bis der Patch angewendet wird.
Censys Perspektive:
Diese Sicherheitsanfälligkeit wurde mit demselben Update behoben, das auch die Sicherheitsanfälligkeit CVE-2024-38077 behebt, eine RCE-Schwachstelle im Windows-Remotedesktop-Lizenzierungsdienst, für die wir bereits ein Advisory veröffentlicht haben: https://censys.com/cve-2024-38077/.
Um potenziell anfällige, nicht gehostete Windows-Systeme für CVE-2024-38063 zu identifizieren, können Sie dieselben Censys -Abfragen verwenden, die auch für die Suche nach CVE-2024-38077 verwendet wurden:
- Censys Search Abfrage: services.parsed.dcerpc.endpoints.explained_uuid=”3d267954-eeb7-11d1-b94e-00c04fa3080d v1.0″
- Censys ASM-Abfrage: host.services.parsed.dcerpc.endpoints.explained_uuid=”3d267954-eeb7-11d1-b94e-00c04fa3080d v1.0″
- Censys ASM-Risikoabfragerisks.name="Windows Remotedesktop-Lizenzierungsdienst RCE-Schwachstelle [CVE-2024-38077]"
Karte der Censys-sichtbaren potenziell gefährdeten, nicht gehosteten Windows-Instanzen ab 20. August 2024
Referenzen: