CVE-2020-16898 | Windows TCP/IP 远程执行代码漏洞

  • A+
所属分类:安全漏洞

更多全球网络安全资讯尽在邑安全

CVE-2020-16898 | Windows TCP/IP 远程执行代码漏洞

0x00漏洞概述

20201014日,监测发现微软官方发布了Windows DNS Server的风险通告,该漏洞编号为CVE-2020-16898,漏洞等级:严重

Windows TCP/IP存在远程代码执行漏洞,远程攻击者通过向受影响服务器发送特制的ICMPv6(路由通报)数据包,可以造成远程代码执行影响。据了解,微软官方给出的评分为 9.8 分(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C)。

0x01漏洞分析

Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement(路由通告)数据包时,导致存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在目标服务器或客户端上任意执行代码。

要利用此漏洞,攻击者必须将特制的ICMPv6(路由通告)数据包发送到远程Windows计算机(远程攻击者无须接触目标计算机也勿须相应权限,向目标计算机发送攻击数据包即可能实现远程代码执行,目前尚未公开利用方法)

0x02影响版本

版本号                                            

Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1709 for x64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for x64-based Systems
Windows Server 2019
Windows Server 2019  (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)                 


0x03防护方案

应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启,Windows自动更新流程如下:

1.     点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。

2.     点击控制面板页面中的“系统和安全”,进入设置。

3.     在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。

4.     然后进入设置窗口,展开下拉菜单项,选择其中的自动安装更新(推荐)

临时的缓解措施:

a)     使用powershell命令禁用ICMPv6 RDNSS此解决方法仅适用于Windows1709及更高版本

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

        补丁地址:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

0x04时间线

2020-10-13 微软官方发布通告

2020-10-14 邑安科技安全团队发布通告

0x05相关链接

CVE-2020-16898 | Windows TCP/IP远程执行代码漏洞https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898
欢迎收藏并分享朋友圈,让五邑人网络更安全

CVE-2020-16898 | Windows TCP/IP 远程执行代码漏洞

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



本文始发于微信公众号(邑安全):CVE-2020-16898 | Windows TCP/IP 远程执行代码漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: