请选择 进入手机版 | 继续访问电脑版
 找回密码
 立即注册

QQ登录

只需一步,快速开始

首页 安全 系统安全 查看内容

【漏洞通告】Windows TCP/IP远程代码执行

指尖安全-小胖 2020-10-15 12:41

漏洞简述

CVE-2020-16898被称为“坏邻居”漏洞。Windows TCP/IP协议栈在处理ICMPv6 路由广告包时,存在此远程代码执行漏洞。由于使用选项类型25和偶数长度字段对ICMPv6路由器播发数据包的处理不当,导致存在此漏洞。

攻击者可通过向受影响主机发送特制ICMPv6 路由广告包来利用此漏洞,成功利用此漏洞的攻击者可在目标服务器或客户端上执行任意代码。

根据McAfee的博客文章,其为Microsoft Active Protections计划(MAPP)成员提供的PoC及其简单又非常稳定可靠,执行它会立刻出现BSOD(蓝屏死机)目前已经可以在国外视频网站看到此漏洞的验证视频。尽管PoC暂时不能实现远程代码执行,但攻击者可以制作蠕虫病毒来实现远程代码执行。

风险等级

高危

影响版本

microsoft:window_server_2019:/1903/1909/2004

microsoft:window_server_2019:*

microsoft:window_server:1903/1909/2004

修复建议

通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。

CVE-2020-16898 | Windows TCP/IP远程执行代码漏洞

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

临时修补建议

可以禁用IMCPv6 RDNSS来缓解风险

使用以下PowerShell命令禁用ICMPv6 RDNSS,以防止攻击者利用此漏洞。此解决方法仅适用于Windows 1709及更高版本。

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

进行更改后无需重新启动。

可以使用以下PowerShell命令禁用上述解决方法。

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable

参考链接:

https://cert.360.cn/warning/detail?id=cd37c1ae12bd5a921b0261f55e50255b

https://mp.weixin.qq.com/s/zZoFm8E9DKgxddVZN3lALg

分享到
文章点评