【风险公告】Windows TCP/IP远程执行代码缝隙
2020-10-14 00:00:00
234钱包安全应急响应中心监测到10月13日微软官方颁布10月份安全更新�,�,其中修复了一个Windows TCP/IP远程代码执行缝隙CVE-2020-16898�,�,成功利用该缝隙可远程在指标服务器或客户端上执行恶意代码�。�。
该缝隙官方评级为严重�,�,官方已颁布修复该缝隙的安全补丁�。�。请宽大用户高度关注并尽快装置补丁进行防护�。�。
缝隙描述
Windows TCP/IP仓库不本地处置ICMPv6 Router Advertisement(路由公告)数据包时�,�,存在一个远程执行代码缝隙�。�。成功利用此缝隙的攻击者能够获得在指标服务器或客户端上执行代码的能力�。�。
要利用此缝隙�,�,攻击者必须将特制的ICMPv6(路由公告)数据包发送到远程Windows推算机(远程攻击者毋庸接触指标推算机也勿须相应权限�,�,向指标推算机发送攻击数据包即可能实现RCE�,�,目前尚无EXP公开)�。�。
此更新通过更正Windows TCP/IP仓库处置ICMPv6(路由公告)数据包的方式来解决此缝隙�。�。
风险等级
严重
影响版本
Windows 10�、�、�、Windows Server的多个版本均受影响
修复建议
1. 微软已颁布安全更新�,�,请尽快使用Windows安全更新升级装置�。�。
2. 也可手动下载装置:�:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898
3. 若不方便进行安全更新�,�,也可采取以下暂缓措施:�:
l 禁用ICMPv6 RDNSS
您能够使用以下 PowerShell 号令禁用 ICMPv6 RDNSS�,�,以阻止攻击者利用缝隙�。�。
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable
(注明:�:此解决步骤仅合用于 Windows 1709 及更高版本)
参考链接
[1]https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cve-2020-16898-bad-neighbor/
[2]https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-16898
[3]https://github.com/advanced-threat-research/CVE-2020-16898
北京234钱包网络技术有限公司
2020/10/14