Windows TCP/IP Remote Code Execution Vulnerability CVE-2024-38063
ipv6で特殊なパケットを送ることで任意のコードを実行できるとのこと。パッチは既に出ているので、windows updateをかければ良い。
発見者は詳細を公開する予定がなく、MSもPoCやexploitは現状ないという判断だが、クラッシュさせるPoCを実行することができたと言っている人もおり、そのうちマルウェアに利用される可能性も否定できない。
パッチを当てられない場合は、ipv6を無効にすることで対応可能。ただし後述するように推奨されない。
ipv6を無効にするためには、こちらを参考に以下のようにレジストリ値を追加する。
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters" /v DisabledComponents /t REG_DWORD /d 0xff /f
ネットワークのプロパティのGUIでのIPv6無効化はサポートされておらず、このレジストリ値と同期しないようである。
Using the network properties GUI to disable IPv6 is not supported
This registry value doesn't affect the state of the following check box. Even if the registry key is set to disable IPv6, the check box in the Networking tab for each interface can be selected. This is an expected behavior.
さらに、同じリンク先にあるように、IPv6を無効化すること自体推奨していない。
Internet Protocol version 6 (IPv6) is a mandatory part of Windows Vista and Windows Server 2008 and newer versions. We do not recommend that you disable IPv6 or its components. If you do, some Windows components may not function.
具体的なipv6無効化による副作用については、Referenceの部分に記載がある。
For more information about the related issues, see the articles below:
- Example 1: On Domain Controllers, you might run into where LDAP over UDP 389 will stop working. See How to use Portqry to troubleshoot Active Directory connectivity issues
- Example 2: Exchange Server 2010, you might run into problems where Exchange will stop working. See Arguments against disabling IPv6 and Disabling IPv6 And Exchange – Going All The Way.
- Example 3: Failover Clusters See What is a Microsoft Failover Cluster Virtual Adapter anyway? and Failover Clustering and IPv6 in Windows Server 2012 R2.