2022年11月30日
安全通告
IKE協(xié)議是一份符合因特網(wǎng)協(xié)議安全(IPSec)標(biāo)準(zhǔn)的協(xié)議。因特網(wǎng)密鑰交換協(xié)議是結(jié)合了兩個早期的安全協(xié)議而生成的綜合性協(xié)議。
近日,奇安信CERT監(jiān)測到Windows IKE協(xié)議擴(kuò)展存在遠(yuǎn)程代碼執(zhí)行漏洞,此漏洞允許遠(yuǎn)程攻擊者在系統(tǒng)上執(zhí)行任意代碼。IKEEXT在處理IKEv1數(shù)據(jù)包時,沒有對用戶輸入進(jìn)行充分驗(yàn)證,未經(jīng)身份認(rèn)證的遠(yuǎn)程攻擊者可通過向受影響的系統(tǒng)發(fā)送特制的IKEv1數(shù)據(jù)包觸發(fā)漏洞,并執(zhí)行任意代碼。目前,此漏洞細(xì)節(jié)及PoC已在互聯(lián)網(wǎng)公開,且存在在野利用,奇安信CERT已復(fù)現(xiàn)此漏洞。鑒于該漏洞影響范圍較大,建議客戶盡快做好自查及防護(hù)。
漏洞名稱 | Windows IKE協(xié)議擴(kuò)展遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-34721) | ||
公開時間 | 2022-09-13 | 更新時間 | 2022-11-29 |
CVE編號 | CVE-2022-34721 | 其他編號 | QVD-2022-13996 CNNVD-202209-913 |
威脅類型 | 代碼執(zhí)行 | 技術(shù)類型 | 數(shù)據(jù)驗(yàn)證不恰當(dāng) |
廠商 | Microsoft | 產(chǎn)品 | Windows |
風(fēng)險等級 | |||
奇安信CERT風(fēng)險評級 | 風(fēng)險等級 | ||
高危 | 藍(lán)色(一般事件) | ||
現(xiàn)時威脅狀態(tài) | |||
POC狀態(tài) | EXP狀態(tài) | 在野利用狀態(tài) | 技術(shù)細(xì)節(jié)狀態(tài) |
已公開 | 未發(fā)現(xiàn) | 已發(fā)現(xiàn) | 已公開 |
漏洞描述 | Windows IKE 協(xié)議擴(kuò)展存在遠(yuǎn)程代碼執(zhí)行漏洞,此漏洞允許遠(yuǎn)程攻擊者在系統(tǒng)上執(zhí)行任意代碼。IKEEXT 在處理 IKEv1數(shù)據(jù)包時,沒有對用戶輸入進(jìn)行充分驗(yàn)證,未經(jīng)身份認(rèn)證的遠(yuǎn)程攻擊者可通過向受影響的系統(tǒng)發(fā)送特制的 IKEv1數(shù)據(jù)包觸發(fā)漏洞,并執(zhí)行任意代碼。 | ||
影響版本 | Windows Server 2022 Windows 10 Version 21H1 for 32-bit Systems Windows 10 Version 21H1 for ARM64-based Systems Windows 10 Version 21H1 for x64-based Systems Windows Server 2019 (Server Core installation) Windows Server 2019 Windows 10 Version 1809 for ARM64-based Systems Windows 10 Version 1809 for x64-based Systems Windows 10 Version 1809 for 32-bit Systems Windows Server 2012 R2 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 (Server Core installation) Windows Server 2012 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows 10 Version 21H2 for x64-based Systems Windows 10 Version 21H2 for ARM64-based Systems Windows 10 Version 21H2 for 32-bit Systems Windows 11 for ARM64-based Systems Windows 11 for x64-based Systems Windows 10 Version 20H2 for ARM64-based Systems Windows 10 Version 20H2 for 32-bit Systems Windows 10 Version 20H2 for x64-based Systems Windows Server 2022 Azure Edition Core Hotpatch Windows Server 2022 (Server Core installation) Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows Server 2008 for 32-bit Systems Service Pack 2 Windows RT 8.1 Windows 8.1 for x64-based systems Windows 8.1 for 32-bit systems Windows 7 for x64-based Systems Service Pack 1 Windows 7 for 32-bit Systems Service Pack 1 Windows Server 2016 (Server Core installation) Windows Server 2016 Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems Windows 10 for x64-based Systems Windows 10 for 32-bit Systems | ||
不受影響版本 | 此漏洞僅影響啟用了 IPSec 服務(wù)的Windows 系統(tǒng),默認(rèn)情況下,Windows不啟用 IPSec 服務(wù)。 | ||
其他受影響組件 | 無 | ||
威脅評估
漏洞名稱 | Windows IKE協(xié)議擴(kuò)展遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2022-34721) | ||
CVE編號 | CVE-2022-34721 | 其他編號 | QVD-2022-13996 CNNVD-202209-913 |
CVSS 3.1評級 | 高危 | CVSS 3.1分?jǐn)?shù) | 9.8 |
CVSS向量 | 訪問途徑(AV) | 攻擊復(fù)雜度(AC) | |
網(wǎng)絡(luò) | 低 | ||
所需權(quán)限(PR) | 用戶交互(UI) | ||
不需要 | 不需要 | ||
影響范圍(S) | 機(jī)密性影響(C) | ||
不改變 | 高 | ||
完整性影響(I) | 可用性影響(A) | ||
高 | 高 | ||
危害描述 | Windows IKE協(xié)議擴(kuò)展存在遠(yuǎn)程代碼執(zhí)行漏洞,此漏洞允許遠(yuǎn)程攻擊者在系統(tǒng)上執(zhí)行任意代碼。IKEEXT在處理IKEv1數(shù)據(jù)包時,沒有對用戶輸入進(jìn)行充分驗(yàn)證,未經(jīng)身份認(rèn)證的遠(yuǎn)程攻擊者可通過向受影響的系統(tǒng)發(fā)送特制的IKEv1數(shù)據(jù)包觸發(fā)漏洞,并執(zhí)行任意代碼。 經(jīng)研判,只有開啟 IPSec 服務(wù)的Windows系統(tǒng)受此漏洞影響,觸發(fā)此漏洞還需要配置額外的 IPSec 策略。默認(rèn)情況下,Windows系統(tǒng)不會運(yùn)行 IPSec 服務(wù)。因而,漏洞利用前置條件不太簡單,定級高危。 | ||
處置建議
一、自查檢測方案
只有運(yùn)行 IKE 和 AuthIP IPsec 密鑰模塊的系統(tǒng)才容易受到這種攻擊,用戶可通過PowerShell 命令Get-Service Ikeext 查看該服務(wù)運(yùn)行的狀態(tài):
開啟示例:
未開啟示例:
詳情請參考:https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34721
二、修復(fù)緩解措施
1、若非必須,不要啟用 IPSec 服務(wù);
2、限制未知來源對 500、4500 端口的訪問;
三、修復(fù)解決方案(含漏洞補(bǔ)丁)
微軟官方已發(fā)布安全更新,系統(tǒng)可自動更新。若不能自動更新,用戶可參考以下鏈接手動打補(bǔ)丁:https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34721
來源:奇安信CERT