【漏洞通告】Windows TCP/IP多个高危漏洞

  • A+
所属分类:安全漏洞

漏洞名称Windows TCP/IP 远程命令执行漏洞

Windows TCP/IP 拒绝服务漏洞

组件名称 : Tcpip.sys

威胁等级 :

影响范围 Windows 7 SP1

Windows 8.1

Windows RT 8.1

Windows 10

Windows 10 Version   1607, 1803,1809, 1909, 2004,20H2

Windows Server 2008   SP2

Windows Server 2008   R2 SP1

Windows Server 2012,   2012 R2, 2016, 2019

Windows Server   version 1909, 2004,20h2

漏洞类型 远程代码执行

拒绝服务

利用条件 : 1、用户认证:不需要用户认证
2、触发方式:远程

造成后果 : 1、该漏洞在处理IP包分片的时候未能正确重组,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行远程代码执行攻击,最终造成获取终端最高权限。

2、该漏洞在处理IP包分片的时候未能正确重组产生了零指针解引用,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行拒绝服务攻击,最终造成终端无法正常工作。


漏洞分析


组件介绍

Windows TCP/IP是由微软公司实现的TCP/IP协议族,TCP/IP提供了点对点链接的机制,将数据应该如何封装、寻址、传输、路由以及在目的地如何接收,都加以标准化。它将软件通信过程抽象化为四个抽象层,采取协议堆栈的方式,分别实现出不同通信协议。协议族下的各种协议,依其功能不同,分别归属到这四个层次结构之中,常视为是简化的七层OSI模型。


2 漏洞描述

2021年2月10日,深信服安全团队监测到微软官方发布了一则漏洞安全通告,通告披露了Windows TCP/IP组件存在远程命令执行漏洞,漏洞编号:CVE-2021-24074、CVE-2021-24094;拒绝服务漏洞,漏洞编号:CVE-2021-24086。该漏洞在处理IP包分片的时候未能正确重组,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行远程代码执行或拒绝服务攻击攻击,最终造成获取终端最高权限或使终端无法正常工作。


影响范围


目前受影响的Windows版本:

Windows 7 SP1

Windows 8.1

Windows RT 8.1

Windows 10

Windows 10 Version 1607, 1803,1809, 1909, 2004,20H2

Windows Server 2008 SP2

Windows Server 2008 R2 SP1

Windows Server 2012, 2012 R2, 2016, 2019

Windows Server version 1909, 2004,20h2


解决方案


如何检测组件系统版本

通过命令行执行”winver”命令即可知道当前Windows的版本。


官方修复建议

解决方案一:

当前官方已发布受影响版本的对应补丁(当前官方已发布最新版本),建议受影响的用户及时更新官方的安全补丁(及时更新升级到最新版本)。链接如下:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24074

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24086

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24094


解决方案二:

对于暂时不能更新的终端有以下两种解决方案:

修改注册表

命令行修改(推荐)

将sourceroutingbehavior设置为”drop”

netsh int ipv4 set global sourceroutingbehavior=drop
【漏洞通告】Windows TCP/IP多个高危漏洞

将global reassemblylimit 设置为0

netsh int ipv6 set global reassemblylimit=0
【漏洞通告】Windows TCP/IP多个高危漏洞

使用该解决方案的效果:

IPv4源路由在Windows中被认为是不安全的且默认被阻止;然而系统会处理请求并回复一个ICMP包来拒绝请求,该解决方案会使系统不进行任何处理直接丢弃请求。

命令关闭了IPv6的包重组。任何不按照序列的包都会被丢弃。正常情境下不会超过50个不按照序列的包。

撤销该解决方案的方法:

恢复默认设定”dontforward”

netsh int ipv4 set global sourceroutingbehavior=dontforward
【漏洞通告】Windows TCP/IP多个高危漏洞

恢复默认设定”267748640”

netsh int ipv6 set global reassemblylimit=267748640
【漏洞通告】Windows TCP/IP多个高危漏洞


手动修改

设置防火墙或负载均衡器来禁止源路由请求

在注册表更改键值

路径:

HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters

值名:

DisableIPSourceRouting

值类型:

REG_DWORD

值:

2
【漏洞通告】Windows TCP/IP多个高危漏洞

设置防。


时间轴


2021/2/10  微软官方发布安全补丁。

2021/2/10  深信服千里目安全实验室发布漏洞通告。



点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

【漏洞通告】Windows TCP/IP多个高危漏洞


深信服千里目安全实验室

【漏洞通告】Windows TCP/IP多个高危漏洞

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们



本文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】Windows TCP/IP多个高危漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: