Windows TCP/IP 远程执行代码漏洞(CVE-2024-38063)快速修复指南

1.漏洞概述

近期微软发布补丁更新，修补了 Windows TCP/IP 远程执行代码漏洞（CVE-2024-38063）。该漏洞影响所有受支持的 Windows 版本，包括 Windows 11、Windows 10 以及多个版本的 Windows Server。漏洞的 CVSS3.1 分数为 9.8，属于「重要」级别，该漏洞存在于 Windows 的 TCP/IP 网络堆栈中，是一个严重的远程代码执行漏洞。攻击者可以通过反复向 Windows 设备发送特制的 IPv6 数据包，这个过程无需用户交互或身份验证攻击者，攻击者成功利用该漏洞可以导致服务器蓝屏，甚至可以造成远程代码执行。

2.修复需知

大家修复漏洞前需要遵循以下微软要求，否则你将无法安装补丁：

要求一：《服务堆栈更新^[1]》有时内部Windows Update进程或特定的Windows OS更新将失败。为了帮助减少或解决这些故障，应遵循以下准则：尝试安装任何Windows更新之前（始终），请确保安装最新的Windows SSU。

要求二：《针对 Windows 和 WSUS 的 2019 SHA-2 代码签名支持要求^[2]》运行旧版 OS 版本 (Windows 7 SP1、Windows Server 2008 R2 SP1 和 Windows Server 2008 SP2) 的客户需在设备上安装 SHA-2 代码签名支持，才能安装 2019 年 7 月或之后发布的更新。

要求三：《扩展安全更新^[3]》扩展安全更新 (ESU) 计划是需要在支持结束后运行某些旧版 Microsoft 产品的客户的最后选择。它们不是长期解决方案，而是作为临时桥梁，以便在迁移到较新的受支持平台时保持安全。它包括在产品扩展支持终止日期后最长三年的关键和重要安全更新 (系统版本小于windows server 2016均需要此授权) 。

3.补丁下载

根据微软的最新要求，在安装CVE-2024-38063^[4]补丁前，需要安装前置补丁服务堆栈更新(SSU),运行旧版 OS 需在设备上安装 SHA-2代码签名支持kb4474419^[5],系统版本小于windows server 2016均需要ESU授权，笔者为大家整理好了服务器系统对应的漏洞补丁下载地址，桌面版系统建议联网自动更新。

4.临时措施

禁用IPv6步骤如下：

1. 1. 打开“设置”>“网络和Internet”>“更改适配器选项”。

2. 2. 根据自己的电脑连接的是有线网络还是无线网络，找到并点击“本地连接”或“无线网络连接”。然后点击“属性”。

3. 3. 在弹出窗口中选择“禁用”IPv6选项。

4. 4. 点击“保存”并重启电脑。

引用链接

[1] 服务堆栈更新: https://learn.microsoft.com/zh-cn/windows/deployment/update/servicing-stack-updates#what-is-a-servicing-stack-update
[2] 针对 Windows 和 WSUS 的 2019 SHA-2 代码签名支持要求: https://support.microsoft.com/zh-cn/topic/针对-windows-和-wsus-的-2019-sha-2-代码签名支持要求-64d1c82d-31ee-c273-3930-69a4cde8e64f
[3] 扩展安全更新: https://learn.microsoft.com/zh-cn/lifecycle/faq/extended-security-updates
[4] CVE-2024-38063: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38063
[5] kb4474419: https://catalog.update.microsoft.com/Search.aspx?q=KB4474419
[6] KB5025230: https://www.catalog.update.microsoft.com/Search.aspx?q=KB5025230
[7] KB5041160: https://catalog.update.microsoft.com/Search.aspx?q=KB5041160
[8] kb5005112: https://catalog.s.download.windowsupdate.com/d/msdownload/update/software/secu/2021/08/windows10.0-kb5005112-x64_81d09dc6978520e1a6d44b3b15567667f83eba2c.msu
[9] KB5041578: https://catalog.update.microsoft.com/Search.aspx?q=KB5041578
[10] kb5040562: https://catalog.s.download.windowsupdate.com/d/msdownload/update/software/secu/2024/07/windows10.0-kb5040562-x64_cef5da8db3d043f85378126b220a5286bcfbf25b.msu
[11] KB5041773: https://catalog.update.microsoft.com/Search.aspx?q=KB5041773
[12] KB5040569: https://catalog.s.download.windowsupdate.com/c/msdownload/update/software/secu/2024/07/windows8.1-kb5040569-x64_34fb2b6ce232e9ddaab4dada6f3fbb6a4c642918.msu
[13] KB5041828: https://catalog.update.microsoft.com/Search.aspx?q=KB5041828
[14] KB5040570: https://catalog.s.download.windowsupdate.com/d/msdownload/update/software/secu/2024/07/windows8-rt-kb5040570-x64_a35abae859610e4df260d327e666c65ae48d238c.msu
[15] KB5041851: https://catalog.update.microsoft.com/Search.aspx?q=KB5041851
[16] kb5039339: https://catalog.s.download.windowsupdate.com/d/msdownload/update/software/secu/2024/06/windows6.1-kb5039339-x64_f62846508976a6e5325ab1dca0783f9b3a60a564.msu
[17] kb4474419: https://catalog.update.microsoft.com/Search.aspx?q=KB4474419
[18] KB5041823: https://catalog.update.microsoft.com/Search.aspx?q=KB5041823
[19] kb4474419: https://catalog.update.microsoft.com/Search.aspx?spm=wolai.workspace.0.0.76ebd475t8At5j&q=KB4474419
[20] kb5039341: https://catalog.s.download.windowsupdate.com/c/msdownload/update/software/secu/2024/06/windows6.0-kb5039341-x64_2dfad504a6771157472ed3647d021e7b3211c505.msu
[21] KB5041847: https://catalog.update.microsoft.com/Search.aspx?q=KB5041847
[22] kb4474419: https://catalog.update.microsoft.com/Search.aspx?spm=wolai.workspace.0.0.76ebd475t8At5j&q=KB4474419
[23] kb5039341: https://catalog.s.download.windowsupdate.com/c/msdownload/update/software/secu/2024/06/windows6.0-kb5039341-x86_7a86cb8540059ece4f1a420d62392446dfc8c80d.msu
[24] KB5041850: https://catalog.update.microsoft.com/Search.aspx?q=KB5041850