CVE-2026-33824:Windows IKEv2にお... ノート

CVE-2026-33824:Windows IKEv2におけるリモートコード実行

TrendAI Researchは、MicrosoftのWARP & MORSEチームが最初に発見した、Windows Internet Key Exchange (IKE) サービスにおけるダブルフリー脆弱性、CVE-2026-33824を特定しました。この欠陥は、IKEv2のフラグメント処理に存在し、IKEEXTサービスのクラッシュや任意のコード実行につながる可能性があります。この脆弱性は、ikeext.dll内でのIKEv2フラグメント再構成中のヒープ割り当てされたBLOBポインタの不適切な所有権処理に起因しています。IKE_SA_INIT交換中に、Security Realm Vendor IDペイロードがIkeHandleSecurityRealmVendorId()にBLOBを割り当てさせ、MMSA構造体に格納されます。フラグメント化されたIKE_AUTHメッセージが再構成されると、IkeReinjectReassembledPacketは、このBLOBポインタをローカルスタック構造体に浅くコピーします。この構造体は、その後、IkeQueueRecvRequestによってヒープ割り当てされたワークアイテムに浅くコピーされます。最初の解放は、IkeDestroyPacketContextがワークアイテムを処理し、この浅くコピーされたBLOBポインタを解放するときに発生します。MMSA構造体は、同じ割り当てへの元のポインタをまだ保持しています。2回目の解放は、IkeCleanupMMNegotiationを介してMMSAがクリーンアップされるときに発生し、最終的にIkeFreeMMSAがトリガーされ、既に解放された割り当てを解放しようとします。認証されていないリモート攻撃者は、細工されたIKE_SA_INITメッセージを送信し、それに続いて無効なIKE_AUTHメッセージを含む2つ以上の暗号化されたフラグメントペイロードを送信することで、これを悪用できます。検出には、特定のIKE_SA_INITシーケンス(Microsoft Security Realm Vendor IDを含む)に続いて、特定のバイトシーケンスを含むフラグメント化されたIKE_AUTH要求について、UDPポート500および4500を監視する必要があります。Microsoftは、2026年4月にこの脆弱性を修正し、一時的な緩和策として、UDPポート500および4500へのインバウンドトラフィックをブロックするか、既知のピアアドレスへのトラフィックを制限することを推奨しています。ベンダーのアップデートを適用することが、唯一の完全な修復策です。
CdXz5zHNQW_WT3iiMmsPg.jpeg