近日，Windows TCP/IP 被爆出存在远程代码执行漏洞（CVE-2024-38063，https://x.threatbook.com/v5/vul/XVE-2024-20159）。根据微软官方披露的信息，未经身份验证的远程攻击者可以通过反复发送包含特制数据包的 IPv6 数据包到 Windows 机器上，从而在目标系统上实现远程代码执行，微软将该漏洞标记为Exploitation More Likely（更有可能被利用）。

该漏洞披露后，在网络上引发了广泛讨论，甚至被一些机构称为“核弹级漏洞”、“宇宙级漏洞”。

但经过微步情报局验证， 该漏洞利用的前提是需要知道受害者的 IPv6 和 MAC 地址（从实际攻防的场景下，从外网直接获取目标的 MAC 地址难度比较大，目前已知的稳定利用场景是在同一个局域网下通过 arp 获取） ，然后才能通过向受害者发送畸形的 IPv6 数据包触发 Ipv6pReceiveFragment 方法中的整数溢出，导致内存访问错误，驱动程序崩溃，从而造成系统蓝屏，服务中断。截止到文章发布，微步暂未捕获及发现远程代码执行的EXP。

对于该漏洞的临时缓解措施，微软给出的方法是禁用 Windows 上的 IPv6，但需要注意的是，禁用 IPv6 可能会导致某些意外的问题，请受影响的客户根据自身业务，酌情进行处置。

综合处置优先级： 中

临时修复方案：

根据微软官方的建议，禁用服务器上的 IPv6 可临时修复该漏洞。但需要注意的是，禁用 IPv6 可能会导致某些意外的问题，请根据自身业务，酌情进行处置。

3. 禁用后，效果如下，点击确认即可。