CVE-2026-33824:Windows IKEv2 中... 笔记

CVE-2026-33824:Windows IKEv2 中的远程代码执行漏洞

TrendAI 研究团队发现 Windows 互联网密钥交换(IKE)服务中存在双重释放漏洞 CVE-2026-33824,该漏洞最初由微软的 WARP 和 MORSE 团队发现。此缺陷存在于 IKEv2 的分片处理机制中,可能导致 IKEEXT 服务崩溃或任意代码执行。该漏洞源于在 ikeext.dll 中处理 IKEv2 分片重组时,对堆分配的 blob 指针的所有权管理不当。在 IKE_SA_INIT 交换过程中,安全域供应商 ID 载荷会调用 IkeHandleSecurityRealmVendorId() 分配一个 blob,并将其存储在 MMSA 结构中。当重组分片的 IKE_AUTH 消息时,IkeReinjectReassembledPacket 将该 blob 指针浅拷贝到本地栈结构体中;随后,IkeQueueRecvRequest 又将该栈结构体浅拷贝到堆分配的工作项中。第一次释放发生在 IkeDestroyPacketContext 处理该工作项并释放此浅拷贝的 blob 指针时;此时 MMSA 结构仍持有指向同一分配的原始指针。第二次释放发生在通过 IkeCleanupMMNegotiation 清理 MMSA 时,该过程最终触发 IkeFreeMMSA,试图释放已被释放的分配。未经身份验证的远程攻击者可通过发送精心构造的 IKE_SA_INIT 消息,随后发送两个或更多包含无效 IKE_AUTH 消息的加密分片载荷来利用此漏洞。检测需监控 UDP 端口 500 和 4500,识别特定的 IKE_SA_INIT 序列(包含微软安全域供应商 ID),随后出现包含特定字节序列的分片 IKE_AUTH 请求。微软已于 2026 年 4 月发布补丁修复此漏洞,建议临时措施包括阻止入站 UDP 端口 500 和 4500 的流量,或将流量限制为已知对等地址;应用厂商提供的更新是唯一完整的修复方案。
CdXz5zHNQW_WT3iiMmsPg.jpeg