CVE-2026-33824: Удаленное выпо... Заметка
RSS Zero Day Initiative - Блог

CVE-2026-33824: Удаленное выполнение кода в Windows IKEv2

TrendAI Research выявила уязвимость двойного освобождения, CVE-2026-33824, в службе Windows Internet Key Exchange (IKE), первоначально обнаруженную командой WARP & MORSE в Microsoft. Этот дефект, присутствующий в обработке фрагментов IKEv2, может привести к сбою службы IKEEXT или выполнению произвольного кода. Уязвимость возникает из-за неправильной обработки владения указателем на блоб, выделенный в куче, во время повторной сборки фрагментов IKEv2 в ikeext.dll. Во время обмена IKE_SA_INIT полезная нагрузка Security Realm Vendor ID заставляет IkeHandleSecurityRealmVendorId() выделить блоб, хранящийся в структуре MMSA. Когда фрагментированное сообщение IKE_AUTH собирается заново, IkeReinjectReassembledPacket поверхностно копирует этот указатель на блоб в локальную структуру стека. Затем эта структура поверхностно копируется в элемент работы, выделенный в куче, с помощью IkeQueueRecvRequest. Первое освобождение происходит, когда IkeDestroyPacketContext обрабатывает элемент работы и освобождает этот поверхностно скопированный указатель на блоб. Структура MMSA по-прежнему содержит исходный указатель на то же выделение. Второе освобождение происходит, когда MMSA очищается через IkeCleanupMMNegotiation, что в конечном итоге запускает IkeFreeMMSA, пытаясь освободить уже освобожденное выделение. Неаутентифицированный удаленный злоумышленник может использовать это, отправив сформированное сообщение IKE_SA_INIT, за которым следуют две или более полезные нагрузки Encrypted Fragment с недействительным сообщением IKE_AUTH. Обнаружение требует мониторинга портов UDP 500 и 4500 на наличие определенной последовательности IKE_SA_INIT (включая Microsoft Security Realm Vendor ID), за которой следует фрагментированный запрос IKE_AUTH, содержащий определенную последовательность байтов. Microsoft исправила эту уязвимость в апреле 2026 года, рекомендуя блокировать входящий трафик на портах UDP 500 и 4500 или ограничивать трафик известными адресами одноранговых узлов в качестве временных мер. Применение обновления поставщика является единственным полным исправлением.
CdXz5zHNQW_WT3iiMmsPg.jpeg