Система обнаружения вторжений UserGate детектирует уязвимость в реализации ICMP для ОС Windows

Центр мониторинга и реагирования UserGate добавил в систему обнаружения вторжений UserGate (IDPS) в версии NGFW 7.0 новую сигнатуру...

Центр мониторинга и реагирования UserGate добавил в систему обнаружения вторжений UserGate (IDPS) в версии NGFW 7.0 новую сигнатуру, позволяющую детектировать эксплуатацию уязвимости в реализации Internet Control Message Protocol (ICMP) от Microsoft в ОС Windows.

В подверженных версиях Windows драйвер tcpip.sys имеет уязвимость в управлении памятью. Она возникает при обработке фрагментированных ICMP-пакетов с сообщением об ошибке, которые содержат вредоносные параметры IP-заголовка. Эта уязвимость позволяет удаленному злоумышленнику вызвать сбой системы Windows или может привести к удаленному выполнению вредоносного кода в случае, если на целевой машине запущено приложение, которое использует сырой сокет (raw socket).

Рейтинг согласно CVSSv3.1 — 9,8.

Уязвимости присвоены идентификаторы CVE-2023-23415; BDU:2023-01227.

Подверженные версии: Windows 10 for 32-bit Systems; Windows 10 for x64-based Systems; Windows 10 Version 1607 for 32-bit Systems; Windows 10 Version 1607 for x64-based Systems; Windows 10 Version 1809 for 32-bit Systems; Windows 10 Version 1809 for ARM64-based Systems; Windows 10 Version 1809 for x64-based Systems; Windows 10 Version 20H2 for 32-bit System; Windows 10 Version 20H2 for x64-based Systems; Windows 10 Version 21H2 for 32-bit Systems; Windows 10 Version 21H2 for ARM64-based Systems; Windows 10 Version 21H2 for x64-based Systems; Windows 10 Version 22H2 for 32-bit Systems; Windows 10 Version 22H2 for ARM64-based Systems; Windows 10 Version 22H2 for x64-based Systems; Windows 11 version 21H2 for ARM64-based Systems; Windows 11 version 21H2 for x64-based Systems; Windows 11 Version 22H2 for ARM64-based Systems; Windows 11 Version 22H2 for x64-based Systems; Windows Server 2008 for 32-bit Systems Service Pack 2; Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation); Windows Server 2008 for x64-based Systems Service Pack 2; Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation); Windows Server 2008 R2 for x64-based Systems Service Pack 1; Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation); Windows Server 2012; Windows Server 2012 (Server Core installation); Windows Server 2012 R2; Windows Server 2012 R2 (Server Core installation); Windows Server 2016; Windows Server 2016 (Server Core installation); Windows Server 2019; Windows Server 2019 (Server Core installation); Windows Server 2022; Windows Server 2022 (Server Core installation).

Специалисты центра мониторинга и реагирования на киберугрозы UserGate рекомендуют пользователям следующие действия:

Пользователям UserGate NGFW v. 7: установить последние обновления с сайта производителя ОС; проверить актуальность подписки на модуль Security Updates; добавить в блокирующее правило IDPS сигнатуру "Windows tcpip.sys driver Remote Code Execution".

UserGate NGFW 7.0 c подпиской на систему обнаружения вторжений (СОВ) детектируют и блокируют сеансы, связанные с этой уязвимостью.

Пользователям UserGate NGFW v. 6: установить последние обновления с сайта производителя ОС; убедиться, что на зоне внутренней сети отсутствует разрешение для ICMP-трафика или создать запрещающее ICMP-трафик правило МЭ на внутренней зоне.

Адрес новости:
https://safe.cnews.ru/news/line/2023-03-30_sistema_obnaruzheniya_vtorzhenij