企业动态

    奇安信CERT

    致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

    安全通告

    IKE协议是一份符合因特网协议安全（IPSec）标准的协议。因特网密钥交换协议是结合了两个早期的安全协议而生成的综合性协议。

    近日，奇安信CERT监测到WindowsIKE协议扩展存在远程代码执行漏洞，此漏洞允许远程攻击者在系统上执行任意代码。IKEEXT在处理IKEv1数据包时，没有对用户输入进行充分验证，未经身份认证的远程攻击者可通过向受影响的系统发送特制的IKEv1数据包触发漏洞，并执行任意代码。目前，此漏洞细节及PoC已在互联网公开，且存在在野利用，奇安信CERT已复现此漏洞。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

    威胁评估

    处置建议

    一、自查检测方案

    只有运行IKE和AuthIPIPsec密钥模块的系统才容易受到这种攻击，用户可通过PowerShell命令Get-ServiceIkeext查看该服务运行的状态：

    开启示例：

    未开启示例：

    详情请参考：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34721

    二、修复缓解措施

    1、若非必须，不要启用IPSec服务；

    2、限制未知来源对500、4500端口的访问；

    三、修复解决方案（含漏洞补丁）

    微软官方已发布安全更新，系统可自动更新。若不能自动更新，用户可参考以下链接手动打补丁：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-34721

    参考资料

    [1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-34721

    [2]https://www.cyfirma.com/outofband/windows-internet-key-exchange-ike-remote-code-execution-vulnerability-analysis/

    时间线

    2022年11月29日，奇安信CERT发布安全风险通告。

    到奇安信NOX-安全监测平台查询更多漏洞详情