【漏洞风险通报】微软Windows操作系统存在TCP/IP高危漏洞

2021年2月10日，微软（Microsoft）发布了2月例行安全更新，其中包含2个TCP/IP高危漏洞的补丁，其漏洞编号分别为：CVE-2021-24074和CVE-2021-24086。安天CERT第一时间对该漏洞进行分析研判。

截至目前，MSRC团队尚未公开两个高危漏洞的具体细节，但已经在公告中指明这两个漏洞会影响Windows 10和Windows其他相应主线服务器版本。目前尚无已经存在漏洞利用代码的证据，基于漏洞机理相对复杂，目前看如攻击者从补丁出发分析和编写出利用代码，可能需要数日到一至两周的时间。但不能排除利用代码已经存在，且会被加速利用收割价值的可能性。因此用户必须全面加速补丁更新工作。该漏洞可能会造成蠕虫式恶意代码传播，警惕类似魔窟（WannaCry）事件的再次发生。

安天智甲终端防御系统提供补丁更新服务。智甲用户可以在“漏洞与补丁管理”模块对本次漏洞进行修复。

2021年2月10日，微软在2月份的补丁日发布了2个TCP/IP高危漏洞，其漏洞编号为：CVE-2021-24074以及CVE-2021-24086；根据目前已知消息判断，这些漏洞会影响所有受支持的Windows版本中的TCP/IP协议栈。

CVE-2021-24074被标记为远程执行代码漏洞，攻击者可以通过构造特殊的IP数据包触发漏洞，漏洞利用成功后，攻击者可在目标服务器上执行任意代码，从而威胁目标主机的安全。

CVE-2021-24086被标记为拒绝服务（Denial of Service，DoS）漏洞，攻击者可以通过构造特殊的IP数据包，使用较少的网络流量即可在暴露于公网的任何Windows系统上触发该漏洞，导致目标拒绝服务，例如，蓝屏等。

鉴于这两个漏洞比较复杂，漏洞细节也暂时没有公开，但利用难度并不是特别困难，因此，安天CERT预计1到2周内被利用的可能性较小，但是MSRC团队相信攻击者将能够更快地利用其进行DoS攻击；安天CERT建议用户迅速下载安装Windows安全更新。

从目前掌握的信息判断，上述两个漏洞影响操作系统版本范围如下：

Windows 7 SP1 – Windows10 20H2

Windows Server 2008 - Windows Server 20H2

上述两个漏洞几乎影响Windows操作系统现有全部主流版本，漏洞危害为“严重级”，漏洞如果被攻击者成功利用，可能导致受害组织内部信息系统瘫痪以及信息资产的大面积失守，并衍生出一系列信息安全问题，在最严重的情况下可能被蠕虫化利用，因此需要引起政企用户的高度重视。

由于上述两个漏洞威胁程度较高，涉及面较广，建议从微软官方下载对应的修补程序进行漏洞修复，或者开启Windows自动更新程序进行自动修复。

4.1 使用安天智甲终端防御系统更新补丁

安天智甲终端防御系统是一款面向各类政企单位的终端安全防护产品，目前最新版已经可以实现对CVE-2021-24074和CVE-2021-24086两个漏洞进行检测，并提供补丁更新服务。

智甲用户请升级至最新版本，并在“漏洞与补丁管理”模块对本次漏洞进行修复。

智甲支持为办公机、服务器、虚拟化终端、移动设备等各类终端提供一体化的安全防护服务。产品具有病毒查杀、主动防御、勒索病毒防护、文件分析、网络管控、入侵防护、威胁响应、资产管理、补丁管理、配置加固、外设管控、威胁可视化等多种功能于一体，可以有效防御各类威胁攻击行为，保障用户业务与数据安全。

4.2 开启Windows自动更新

Windows系统默认启用 Microsoft Update，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。亦可通过以下步骤快速安装更新：

1、步骤为“控制面板”-> “系统和安全”->“Windows更新”

2、选择“检查更新”，等待系统将自动检查并下载可用更新

3、安装更新并依据系统提示重新启动计算机。

4.3 手动安装补丁

对于不能自动更新的系统版本（如Windows 7、Windows Server 2008、Windows Server 2008 R2），可参考以下链接下载适用于该系统的2月补丁并安装：

https://msrc.microsoft.com/update-guide/releaseNote/2021-Feb

针对无法通过官方补丁包进行修复的用户，微软给出了对应的缓解方案，可以参阅以下方法：

1、可通过命令行键入以下命令（管理员权限）将源路由行为（sourceroutingbehavior）设置为drop（丢弃）：

netsh int ipv4 set global sourceroutingbehavior=drop 

如需恢复默认设置，可使用以下命令：

netsh int ipv4 set global sourceroutingbehavior=dontforward

2、配置防火墙或负载平衡器以禁止源路由请求

1、可通过命令行键入以下命令（管理员权限）将全局重汇编极限（global reassemblylimit）设置为0：

以下命令将禁用数据包重组，丢弃任何无序数据包。建议在更新生产系统之前进行严格的测试！！！

Netsh int ipv6 set global reassemblylimit=0 

如需恢复默认设置，可使用以下命令：

Netsh int ipv6 set global reassemblylimit=267748640

2、配置防火墙或负载平衡器以禁止IPv6 UDP分段