【漏洞通告】Windows TCP/IP多个高危漏洞

Windows TCP/IP是由微软公司实现的TCP/IP协议族，TCP/IP提供了点对点链接的机制，将数据应该如何封装、寻址、传输、路由以及在目的地如何接收，都加以标准化。它将软件通信过程抽象化为四个抽象层，采取协议堆栈的方式，分别实现出不同通信协议。协议族下的各种协议，依其功能不同，分别归属到这四个层次结构之中，常视为是简化的七层OSI模型。

2021年2月10日，深信服安全团队监测到微软官方发布了一则漏洞安全通告，通告披露了Windows TCP/IP组件存在远程命令执行漏洞，漏洞编号：CVE-2021-24074、CVE-2021-24094；拒绝服务漏洞，漏洞编号：CVE-2021-24086。该漏洞在处理IP包分片的时候未能正确重组，攻击者可利用该漏洞在未授权的情况下，构造恶意数据执行远程代码执行或拒绝服务攻击攻击，最终造成获取终端最高权限或使终端无法正常工作。

目前受影响的Windows版本：

Windows 7 SP1

Windows 8.1

Windows RT 8.1

Windows 10

Windows 10 Version 1607, 1803，1809, 1909, 2004，20H2

Windows Server 2008 SP2

Windows Server 2008 R2 SP1

Windows Server 2012, 2012 R2, 2016, 2019

Windows Server version 1909, 2004，20h2

通过命令行执行”winver”命令即可知道当前Windows的版本。

解决方案一：

当前官方已发布受影响版本的对应补丁（当前官方已发布最新版本），建议受影响的用户及时更新官方的安全补丁（及时更新升级到最新版本）。链接如下：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24074

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24086

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24094

解决方案二：

对于暂时不能更新的终端有以下两种解决方案：

修改注册表

命令行修改（推荐）

将sourceroutingbehavior设置为”drop”

netsh int ipv4 set global sourceroutingbehavior=drop

将global reassemblylimit 设置为0

netsh int ipv6 set global reassemblylimit=0

使用该解决方案的效果：

IPv4源路由在Windows中被认为是不安全的且默认被阻止；然而系统会处理请求并回复一个ICMP包来拒绝请求，该解决方案会使系统不进行任何处理直接丢弃请求。

命令关闭了IPv6的包重组。任何不按照序列的包都会被丢弃。正常情境下不会超过50个不按照序列的包。

撤销该解决方案的方法：

恢复默认设定”dontforward”

netsh int ipv4 set global sourceroutingbehavior=dontforward

恢复默认设定”267748640”

netsh int ipv6 set global reassemblylimit=267748640

手动修改

设置防火墙或负载均衡器来禁止源路由请求

在注册表更改键值

路径：

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters

值名：

DisableIPSourceRouting

值类型：

REG_DWORD

值：

2

设置防。

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。