漏洞风险提示 | Windows TCP/IP 远程代码执行漏洞(CVE-2020-16898)

  • A+
所属分类:安全漏洞
         长亭漏洞风险提示       


     Windows TCP/IP 远程代码执行漏洞

(CVE-2020-16898)


10 月 13 日,微软官方发布安全公告,修复了一处存在于 Windows TCP/IP 协议栈中的远程代码执行漏洞,此漏洞 CVE 编号为 CVE-2020-16898:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898


漏洞描述


由于 Windows TCP/IP 协议栈对 ICMPv6 路由通告数据包处理不当而导致其存在远程代码执行漏洞。攻击者可通过向目标 Windows 主机发送精心构造的恶意 ICMPv6 路由通告数据包来利用此漏洞,从而在目标主机上执行恶意代码、获取系统权限。


目前已经有使得目标 Windows 蓝屏死机的漏洞利用演示视频在网络上流传,而暂时还未有公开的能够执行任意代码的漏洞利用工具。


此漏洞主要影响 Windows 10 以及 Windows Server 2019、2004 版本。


影响范围


  • Windows 10 Version 1709 for 32-bit Systems

  • Windows 10 Version 1709 for ARM64-based Systems

  • Windows 10 Version 1709 for x64-based Systems

  • Windows 10 Version 1803 for 32-bit Systems

  • Windows 10 Version 1803 for ARM64-based Systems

  • Windows 10 Version 1803 for x64-based Systems

  • Windows 10 Version 1809 for 32-bit Systems

  • Windows 10 Version 1809 for ARM64-based Systems

  • Windows 10 Version 1809 for x64-based Systems

  • Windows 10 Version 1903 for 32-bit Systems

  • Windows 10 Version 1903 for ARM64-based Systems

  • Windows 10 Version 1903 for x64-based Systems

  • Windows 10 Version 1909 for 32-bit Systems

  • Windows 10 Version 1909 for ARM64-based Systems

  • Windows 10 Version 1909 for x64-based Systems

  • Windows 10 Version 2004 for 32-bit Systems

  • Windows 10 Version 2004 for ARM64-based Systems

  • Windows 10 Version 2004 for x64-based Systems

  • Windows Server 2019

  • Windows Server 2019 (Server Core installation)

  • Windows Server, version 1903 (Server Core installation)

  • Windows Server, version 1909 (Server Core installation)

  • Windows Server, version 2004 (Server Core installation)

解决方案


进行 Windows 版本更新并且保持 Windows 自动更新开启,也可以通过下载下面链接中的软件包,手动进行升级:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898  


如若暂时无法进行安全更新,则可以考虑以管理员权限运行以下命令(禁用 ICMPv6 RDNSS)作为漏洞的临时缓解方案(注:以下命令只适用于 Windows 1709 及之后的版本):


netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

其中 INTERFACENUMBER 可通过运行 route print 命令进行查看获取。


参考资料



  • https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

  • https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cve-2020-16898-bad-neighbor/


漏洞风险提示 | Windows TCP/IP 远程代码执行漏洞(CVE-2020-16898)


漏洞风险提示 | Windows TCP/IP 远程代码执行漏洞(CVE-2020-16898)




本文始发于微信公众号(长亭安全课堂):漏洞风险提示 | Windows TCP/IP 远程代码执行漏洞(CVE-2020-16898)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: