Microsoft выпустила срочное обновление безопасности для устранения значительной уязвимости удаленного выполнения кода, выявленной в стеке TCP/IP Windows. Эта уязвимость, обозначенная как CVE-2024-38063, представляет критический риск для всех поддерживаемых версий Windows и Windows Server, включая установки Server Core.
Ключевые характеристики уязвимости CVE-2024-38063
CVE-2024-38063 присвоен максимальный рейтинг критичности с оценкой CVSSv3 9.8. Основные характеристики уязвимости следующие:
- Злоумышленник может использовать эту уязвимость удаленно, отправляя специально сформированные пакеты IPv6 на целевой хост.
- Не требуется взаимодействие пользователя, что классифицирует это как уязвимость "0-клик".
- Эксплуатация возможна исключительно через пакеты IPv6.
Microsoft классифицировала вероятность эксплуатации как "Эксплуатация более вероятна". Успешная эксплуатация CVE-2024-38063 может позволить злоумышленнику выполнить произвольный код на затронутой системе с привилегиями SYSTEM, предоставляя полный контроль над скомпрометированной машиной.
По словам Microsoft, "Неаутентифицированный злоумышленник может неоднократно отправлять пакеты IPv6, включая специально сформированные пакеты, на машину с Windows, потенциально позволяя удаленное выполнение кода". Уязвимость затрагивает все поддерживаемые версии:
- Windows
- Windows Server (включая установки Server Core)
В ответ Microsoft выпустила патчи для всех затронутых версий Windows и Windows Server. Организациям настоятельно рекомендуется немедленно установить эти обновления.
Меры предосторожности и смягчения последствий
В качестве меры предосторожности Microsoft советует отключить IPv6, если он не является необходимым, так как уязвимость может быть использована только через пакеты IPv6. Кроме того, Microsoft устранила шесть нулевых дней, которые активно эксплуатируются злоумышленниками.
Эксперты по безопасности рекомендуют следующие действия для защиты систем:
- Немедленно примените последние обновления безопасности Microsoft.
- Приоритетно установите патчи на системы, доступные из интернета.
- Рассмотрите возможность отключения IPv6, если он не требуется в вашей среде.
- Мониторьте любую подозрительную сетевую активность, особенно связанную с трафиком IPv6.
- Реализуйте сегментацию сети для ограничения потенциального бокового перемещения в случае компрометации системы.
Учитывая критическую природу этой уязвимости и ее потенциальное широкое воздействие, организациям следует приоритетно рассматривать устранение CVE-2024-38063 как неотложное дело.
Microsoft также отметила, что новые устройства Copilot+, теперь доступные для широкой публики, поставляются с предустановленной Windows 11 версии 24H2. Клиенты, использующие эти устройства, должны оставаться бдительными в отношении уязвимостей, затрагивающих их системы, и обеспечивать установку обновлений, особенно если автоматические обновления не включены. Общая доступность Windows 11 версии 24H2 ожидается позже в этом году.