【安全资讯】零点击Windows远程代码执行威胁：研究人员发布CVE-2024-38063漏洞PoC

概要：

近日，网络安全领域迎来重大进展，安全研究员Ynwarcs发布了针对Windows TCP/IP的关键零点击CVE-2024-38063漏洞的详细分析和概念验证（PoC）利用代码。此漏洞影响所有启用IPv6的Windows系统，可能威胁全球数百万设备。

主要内容：

CVE-2024-38063漏洞最初由Kunlun Lab的XiaoWei发现，源于Windows TCP/IP栈中的整数下溢弱点。攻击者可以利用此漏洞触发缓冲区溢出，从而在易受攻击的Windows 10、Windows 11和Windows Server系统上执行任意代码。特别危险的是，此漏洞无需用户交互，攻击者只需发送一系列特制的IPv6数据包即可远程利用。

Ynwarcs在其详细的技术分析中解释了漏洞的工作原理。问题出在Windows处理合并IP数据包的方式上。当多个IPv6数据包被批量处理时，系统首先处理其扩展头，然后再处理数据包数据。然而，“目的地选项”扩展头中的解析错误会导致一系列错误，最终引发缓冲区溢出。通过精心设计的数据包偏移和头字段，攻击者可以在数据包重组过程中引发意外行为。

尽管Ynwarcs发布的PoC利用代码目前仅触发拒绝服务（DoS）而非完全的远程代码执行，但其存在提醒了进一步利用的潜力。PoC利用涉及发送带有“目的地选项”扩展头的畸形IPv6数据包，旨在通过多次内存损坏来利用漏洞。尽管实现完全的远程代码执行具有挑战性，但未来的技术改进可能会改变这一点。

鉴于CVE-2024-38063的严重性，Microsoft已敦促用户尽快应用最新的安全更新。该漏洞已在公司8月的补丁星期二发布中得到修复，修复了TCP/IP栈中的整数下溢问题。对于运行启用IPv6的Windows系统的组织和个人，立即应用这些补丁至关重要，以防止潜在的利用。同时，安全团队应监控网络流量中任何异常的IPv6数据包活动，以检测可能的利用尝试。