IKE协议是一份符合因特网协议安全(IPSec)标准的协议。因特网密钥交换协议是结合了两个早期的安全协议而生成的综合性协议。

近日,奇安信CERT监测到Windows IKE协议扩展存在远程代码执行漏洞,此漏洞允许远程攻击者在系统上执行任意代码。IKEEXT在处理IKEv1数据包时,没有对用户输入进行充分验证,未经身份认证的远程攻击者可通过向受影响的系统发送特制的IKEv1数据包触发漏洞,并执行任意代码。目前,此漏洞细节及PoC已在互联网公开,且存在在野利用,奇安信CERT已复现此漏洞。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。

漏洞名称

Windows IKE协议扩展远程代码执行漏洞(CVE-2022-34721)

公开时间

2022-09-13

更新时间

2022-11-29

CVE编号

CVE-2022-34721

其他编号

QVD-2022-13996

CNNVD-202209-913

威胁类型

代码执行

技术类型

数据验证不恰当

厂商

Microsoft

产品

Windows

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

已公开

未发现

已发现

已公开

漏洞描述

Windows IKE 协议扩展存在远程代码执行漏洞,此漏洞允许远程攻击者在系统上执行任意代码。IKEEXT 在处理 IKEv1数据包时,没有对用户输入进行充分验证,未经身份认证的远程攻击者可通过向受影响的系统发送特制的 IKEv1数据包触发漏洞,并执行任意代码。

影响版本

Windows Server 2022

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 for ARM64-based Systems

Windows 11 for x64-based Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows Server 2022 Azure Edition Core Hotpatch

Windows Server 2022 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

不受影响版本

此漏洞仅影响启用了 IPSec 服务的Windows 系统,默认情况下,Windows不启用 IPSec 服务。

其他受影响组件

威胁评估

漏洞名称

Windows IKE协议扩展远程代码执行漏洞(CVE-2022-34721)

CVE编号

CVE-2022-34721

其他编号

QVD-2022-13996

CNNVD-202209-913

CVSS 3.1评级

高危

CVSS 3.1分数

9.8

CVSS向量

访问途径(AV

攻击复杂度(AC

网络

所需权限(PR

用户交互(UI

不需要

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

Windows IKE协议扩展存在远程代码执行漏洞,此漏洞允许远程攻击者在系统上执行任意代码。IKEEXT在处理IKEv1数据包时,没有对用户输入进行充分验证,未经身份认证的远程攻击者可通过向受影响的系统发送特制的IKEv1数据包触发漏洞,并执行任意代码。

经研判,只有开启 IPSec 服务的Windows系统受此漏洞影响,触发此漏洞还需要配置额外的 IPSec 策略。默认情况下,Windows系统不会运行 IPSec 服务。因而,漏洞利用前置条件不太简单,定级高危。

处置建议

一、自查检测方案

只有运行 IKE 和 AuthIP IPsec 密钥模块的系统才容易受到这种攻击,用户可通过PowerShell 命令Get-Service Ikeext 查看该服务运行的状态:

开启示例:

未开启示例:

详情请参考:https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34721

二、修复缓解措施

1、若非必须,不要启用 IPSec 服务;

2、限制未知来源对 500、4500 端口的访问;

三、修复解决方案(含漏洞补丁)

微软官方已发布安全更新,系统可自动更新。若不能自动更新,用户可参考以下链接手动打补丁:https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34721

参考资料

[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34721

[2]https://www.cyfirma.com/outofband/windows-internet-key-exchange-ike-remote-code-execution-vulnerability-analysis/

声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。