漏洞简述
CVE-2020-16898被称为“坏邻居”漏洞。Windows TCP/IP协议栈在处理ICMPv6 路由广告包时,存在此远程代码执行漏洞。由于使用选项类型25和偶数长度字段对ICMPv6路由器播发数据包的处理不当,导致存在此漏洞。
攻击者可通过向受影响主机发送特制ICMPv6 路由广告包来利用此漏洞,成功利用此漏洞的攻击者可在目标服务器或客户端上执行任意代码。
根据McAfee的博客文章,其为Microsoft Active Protections计划(MAPP)成员提供的PoC及其简单又非常稳定可靠,执行它会立刻出现BSOD(蓝屏死机)目前已经可以在国外视频网站看到此漏洞的验证视频。尽管PoC暂时不能实现远程代码执行,但攻击者可以制作蠕虫病毒来实现远程代码执行。
风险等级
高危
影响版本
microsoft:window_server_2019:/1903/1909/2004
microsoft:window_server_2019:*
microsoft:window_server:1903/1909/2004
修复建议
通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。
CVE-2020-16898 | Windows TCP/IP远程执行代码漏洞
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898
临时修补建议
可以禁用IMCPv6 RDNSS来缓解风险
使用以下PowerShell命令禁用ICMPv6 RDNSS,以防止攻击者利用此漏洞。此解决方法仅适用于Windows 1709及更高版本。
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable
进行更改后无需重新启动。
可以使用以下PowerShell命令禁用上述解决方法。
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable
参考链接:
https://cert.360.cn/warning/detail?id=cd37c1ae12bd5a921b0261f55e50255b
