Система обнаружения вторжений UserGate детектирует уязвимость в реализации ICMP для ОС Windows

Изображение: usergate

Центр Мониторинга и реагирования UserGate добавил в Систему обнаружения вторжений UserGate (IDPS) в версии NGFW 7.0 новую сигнатуру, позволяющую детектировать эксплуатацию уязвимости в реализации Internet Control Message Protocol (ICMP) от Microsoft в ОС Windows.

В подверженных версиях Windows, драйвер tcpip.sys имеет уязвимость в управлении памятью. Она возникает при обработке фрагментированных ICMP-пакетов с сообщением об ошибке, которые содержат вредоносные параметры IP-заголовка. Эта уязвимость позволяет удаленному злоумышленнику вызвать сбой системы Windows или может привести к удаленному выполнению вредоносного кода в случае, если на целевой машине запущено приложение, которое использует сырой сокет (raw socket).

Рейтинг согласно CVSSv3.1 — 9.8. Уязвимости присвоены идентификаторы CVE-2023-23415; BDU:2023-01227.

Подверженные версии:

• Windows 10 for 32-bit Systems.
• Windows 10 for x64-based Systems.
• Windows 10 Version 1607 for 32-bit Systems.
• Windows 10 Version 1607 for x64-based Systems.
• Windows 10 Version 1809 for 32-bit Systems.
• Windows 10 Version 1809 for ARM64-based Systems.
• Windows 10 Version 1809 for x64-based Systems.
• Windows 10 Version 20H2 for 32-bit System.
• Windows 10 Version 20H2 for x64-based Systems.
• Windows 10 Version 21H2 for 32-bit Systems.
• Windows 10 Version 21H2 for ARM64-based Systems.
• Windows 10 Version 21H2 for x64-based Systems.
• Windows 10 Version 22H2 for 32-bit Systems.
• Windows 10 Version 22H2 for ARM64-based Systems.
• Windows 10 Version 22H2 for x64-based Systems.
• Windows 11 version 21H2 for ARM64-based Systems.
• Windows 11 version 21H2 for x64-based Systems.
• Windows 11 Version 22H2 for ARM64-based Systems.
• Windows 11 Version 22H2 for x64-based Systems.
• Windows Server 2008 for 32-bit Systems Service Pack 2.
• Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation).
• Windows Server 2008 for x64-based Systems Service Pack 2.
• Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation).
• Windows Server 2008 R2 for x64-based Systems Service Pack 1.
• Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation).
• Windows Server 2012.
• Windows Server 2012 (Server Core installation).
• Windows Server 2012 R2.
• Windows Server 2012 R2 (Server Core installation).
• Windows Server 2016.
• Windows Server 2016 (Server Core installation).
• Windows Server 2019.
• Windows Server 2019 (Server Core installation).
• Windows Server 2022.
• Windows Server 2022 (Server Core installation).

Специалисты Центра мониторинга и реагирования на киберугрозы UserGate рекомендуют пользователям следующие действия:

Пользователям UserGate NGFW v. 7:

• установить последние обновления с сайта производителя ОС;
• проверить актуальность подписки на модуль Security Updates;
• добавить в блокирующее правило IDPS сигнатуру “Windows tcpip.sys driver Remote Code Execution”.

UserGate NGFW 7.0 c подпиской на Систему обнаружения вторжений (СОВ) детектируют и блокируют сеансы, связанные с этой уязвимостью.

Пользователям UserGate NGFW v. 6:

• установить последние обновления с сайта производителя ОС;
• убедиться, что на зоне внутренней сети отсутствует разрешение для ICMP-трафика или создать запрещающее ICMP-трафик правило МЭ на внутренней зоне.

Источник: cisoclub.ru