Анализ CVE-2024-38063: удаленная эксплуатация ядра Windows

[jackchickadee]

пакеты с ошибками дойдут до отправителя, только если в системе выключен Windows Firewall.

что если фаерволл выключен и остановлен, но ни одного маршрута IPv6 в таблице роутинга нет,
ни один процесс не слушает IPv6 и вообще сделано вот так:

/bin/regtool remove "/HKLM/SYSTEM/CurrentControlSet/services/Dhcp/Parametersv6"
/bin/regtool -d set '/HKLM/SYSTEM/CurrentControlSet/Services/Tcpip6/Parameters/DisabledComponents' 4294967295
/bin/regtool -d set '/HKLM/SYSTEM/CurrentControlSet/Services/Tcpip6/Parameters/Start' 4
/bin/regtool -d set '/HKLM/SYSTEM/CurrentControlSet/Services/Wanarpv6/Parameters/Start' 4
/bin/regtool -d set '/HKLM/SYSTEM/CurrentControlSet/Services/WANARP/Parameters/Start' 4

NI="$COMSPEC/../netsh.exe interface"
$NI IPV6 set global randomizeidentifier=disabled
$NI IPV6 set privacy state=disable
$NI ipv6 6to4 set state state=disabled
$NI ipv6 isatap set state state=disabled
$NI ipv6 set teredo disable
$NI ipv6 set global dhcpmediasense=disabled
$NI teredo set state disable
$NI 6to4 set state disabled
$NI 6to4 set state disabled undoonstop=disabled
$NI isatap set state disabled

$COMSPEC/../sc.exe stop stop Tcpip6
$COMSPEC/../sc.exe stop stop Wanarpv6

$COMSPEC/../sc.exe config Tcpip6 start= disabled
$COMSPEC/../sc.exe config Wanarpv6 start= disabled

Однако наличие включенного брандмауэра не влияет на то, дойдут ли отправленные пакеты до уязвимой
системы, так как их обработка происходит на уровне ядра операционной системы, еще до обработки
брандмауэром.

здесь не понял.
как это сочетается с предыдущим тезисом ?
работающий Windows Firewall с полностью заблокированным IPv6 защищает от описанной уязвимости или нет ?

[liquiddeath13]

работающий Windows Firewall с полностью заблокированным IPv6 защищает от описанной уязвимости или нет ?

Насколько я понял - не защищает

В шинде полно таких дырок..

[4uneral]

Привет!

В случае, если интерфейс IPv6 полностью отключен, уязвимость неэксплуатабельна. 

Что касается файрвола, то он блокирует только исходящие от машины запросы, то есть атакующий не сможет получить ответ ICMP, представленный в статье. Но это никаким образом не влияет на эксплуатабельность: обработка пакетов файрволом происходит после уязвимого кода. Соответственно, провести атаку можно и на машину с включенным файрволом.

[jackchickadee]

если интерфейс IPv6 полностью отключен

я до сих пор не уверен что мои фокусы полностью
отключают стек IPv6 (код закрыт и все такое).
не могли бы вы проверить это на своем готовом стенде и отписать что получится ?

блокирует только исходящие от машины запросы

я специально написал "Windows Firewall с полностью заблокированным IPv6".
полностью значит "и на вход и на выход".

[dartraiden]

Такая конфигурация системы не рекомендуется производителем (в документации Microsoft явным образом не рекомендует отключать поддержку IPv6):

Internet Protocol version 6 (IPv6) is a mandatory part of Windows Vista and Windows Server 2008 and newer versions. We do not recommend that you disable IPv6 or its components. If you do, some Windows components may not function.

[jackchickadee]

конкретно этот производитель может идти куда-нибудь вместе со своими рекомендациями.
у него негативная репутация была до всяких санкций и останется еще надолго.

[NickGorbarov]

Интересная статья, к сожалению редко пишут с детальным разбором... Супер! Ждем еще по другим CVE!