CVE-2020-16898 | Windows TCP/IP 远程执行代码漏洞

admin
admin
admin
139544
文章
114
评论
2020年10月20日16:34:42评论189 views字数 2200阅读7分20秒阅读模式

更多全球网络安全资讯尽在邑安全

CVE-2020-16898 | Windows TCP/IP 远程执行代码漏洞

0x00漏洞概述

20201014日,监测发现微软官方发布了Windows DNS Server的风险通告,该漏洞编号为CVE-2020-16898,漏洞等级:严重

Windows TCP/IP存在远程代码执行漏洞,远程攻击者通过向受影响服务器发送特制的ICMPv6(路由通报)数据包,可以造成远程代码执行影响。据了解,微软官方给出的评分为 9.8 分(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C)。

0x01漏洞分析

Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement(路由通告)数据包时,导致存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在目标服务器或客户端上任意执行代码。

要利用此漏洞,攻击者必须将特制的ICMPv6(路由通告)数据包发送到远程Windows计算机(远程攻击者无须接触目标计算机也勿须相应权限,向目标计算机发送攻击数据包即可能实现远程代码执行,目前尚未公开利用方法)

0x02影响版本

版本号                                            
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1709 for x64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for x64-based Systems
Windows Server 2019
Windows Server 2019  (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)                 


0x03防护方案

应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启,Windows自动更新流程如下:

1.     点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。

2.     点击控制面板页面中的“系统和安全”,进入设置。

3.     在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。

4.     然后进入设置窗口,展开下拉菜单项,选择其中的自动安装更新(推荐)

临时的缓解措施:

a)     使用powershell命令禁用ICMPv6 RDNSS此解决方法仅适用于Windows1709及更高版本

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

        补丁地址:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

0x04时间线

2020-10-13 微软官方发布通告

2020-10-14 邑安科技安全团队发布通告

0x05相关链接

CVE-2020-16898 | Windows TCP/IP远程执行代码漏洞https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898
欢迎收藏并分享朋友圈,让五邑人网络更安全

CVE-2020-16898 | Windows TCP/IP 远程执行代码漏洞

欢迎扫描关注我们,及时了解最新安全动态、学习最潮流的安全姿势!


推荐文章

1

新永恒之蓝?微软SMBv3高危漏洞(CVE-2020-0796)分析复现

2

重大漏洞预警:ubuntu最新版本存在本地提权漏洞(已有EXP) 



本文始发于微信公众号(邑安全):CVE-2020-16898 | Windows TCP/IP 远程执行代码漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年10月20日16:34:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2020-16898 | Windows TCP/IP 远程执行代码漏洞https://cn-sec.com/archives/162718.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息