CVE-2020-16898 | Windows TCP/IP远程执行代码漏洞风险通告,腾讯御界支持检测

  • A+
所属分类:安全新闻 安全漏洞

1

漏洞描述


Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement(路由通告)数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。

 

要利用此漏洞,攻击者必须将特制的ICMPv6(路由通告)数据包发送到远程Windows计算机(远程攻击者无须接触目标计算机也勿须相应权限,向目标计算机发送攻击数据包即可能实现RCE,目前尚无EXP公开)。

 

此更新通过更正Windows TCP/IP堆栈处理ICMPv6(路由通告)数据包的方式来解决此漏洞。


2

漏洞编号


CVE-2020-16898


3漏洞等级


高危,CVSS评分9.8


4

受影响的版本


Windows 10、Windows Server的多个版本均受影响。


5

漏洞修复


微软已于本日发布安全更新,腾讯安全专家推荐用户尽快使用Windows安全更新升级安装。腾讯电脑管家、腾讯T-Sec终端安全管理系统(御点)将同步升级漏洞库,以方便用户安装补丁。

 

用户也可手动下载安装,参考链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898


6

腾讯安全解决方案


腾讯T-Sec高级威胁检测系统(腾讯御界)已支持对黑客利用CVE-2020-16898漏洞的攻击行为进行检测。腾讯T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。

CVE-2020-16898 | Windows TCP/IP远程执行代码漏洞风险通告,腾讯御界支持检测


7

漏洞变通缓解措施


可以禁用ICMPv6 RDNSS来缓解风险。

 

使用以下PowerShell命令禁用ICMPv6 RDNSS,以防止攻击者利用此漏洞。此解决方法仅适用于Windows 1709及更高版本。

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

注意:进行更改后,无需重新启动。

 

可以使用以下PowerShell命令禁用上述解决方法。

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable

注意:禁用替代方法后,无需重新启动。


参考链接

1.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

2.202010月微软安全更新指南:

https://portal.msrc.microsoft.com/zh-cn/security-guidance/releasenotedetail/2020-Oct




CVE-2020-16898 | Windows TCP/IP远程执行代码漏洞风险通告,腾讯御界支持检测

插播一条招聘广告(长期)

CVE-2020-16898 | Windows TCP/IP远程执行代码漏洞风险通告,腾讯御界支持检测

腾讯安全团队现有大量岗位急招客户端开发,Windows、Linux不限,要求3年以上安全领域相关工作经验,具有主机安全、终端安全和零信任经验者优先,有意请投简历到[email protected],诚邀加盟!

本文始发于微信公众号(腾讯安全威胁情报中心):CVE-2020-16898 | Windows TCP/IP远程执行代码漏洞风险通告,腾讯御界支持检测

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: