2020年10月13日,微軟發布預警,Windows TCP/IP堆棧不正確的處理ICMPv6 Router Advertisement(路由通告)數據包時,存在一個遠程執行代碼漏洞。成功利用此漏洞的攻擊者可以獲得在目標服務器或客戶端上執行代碼的能力。該漏洞(CVE-2020-16898)官方評級嚴重,目前微軟官方已提供相應的月度安全補丁以修復該漏洞。
漏洞信息
- 漏洞編號:CVE-2020-16898
- 漏洞評級:嚴重
- 影響范圍:
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
- Windows Server, version 2004 (Server Core installation)
詳細描述
Windows TCP/IP堆棧不正確的處理ICMPv6 Router Advertisement數據包時,存在一個遠程執行代碼漏洞(CVE-2020-16898)。如果攻擊者要利用此漏洞,必須將特制的ICMPv6 Router Advertisement數據包發送到遠程Windows計算機。遠程攻擊者無需接觸目標計算機也無需獲取相應權限,只需向目標計算機發送攻擊數據包即可能實現RCE(remote command/code execute)。目前尚無EXP(Exploit)公開。
安全建議
及時更新官方補丁。
解決方法
您可以使用以下任一解決方法:
- 前往微軟官方下載相應的補丁進行更新。請參見CVE-2020-16898 | Windows TCP/IP Remote Code Execution Vulnerability。
- 阿里云云安全中心Windows系統漏洞模塊已支持對該漏洞補丁一鍵檢測和修復,詳情請參見查看和處理漏洞。
- 通過禁用ICMPv6 RDNSS,緩解風險。通過以下PowerShell命令禁用ICMPv6 RDNSS,以防止攻擊者利用此漏洞。此解決方法僅適用于Windows 1709及更高版本。
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable說明 進行更改后,無需重新啟動。您也可以使用以下PowerShell命令重新開啟ICMPv6 RDNSS,但無法再緩解被攻擊的風險。netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable說明 進行更改后,無需重新啟動。
公告方
阿里云計算有限公司