微软TCP/IP远程执行代码漏洞(CVE-2020-16898)风险通告
10月14日,微软宣布了Windows IPv6堆栈中的一个极为关键的漏洞(CVE-2020-16898,又称“Bad Neighbor”),这意味攻击者可以利用该漏洞发送恶意制作的数据包,从而获取在目标服务器或客户端上执行代码的能力。该漏洞评级为“ Critical”(高危),鉴于漏洞有被利用的可能,我们建议用户尽快更新相关补丁。
一、漏洞描述
Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。要利用此漏洞,攻击者必须将经过特殊设计的ICMPv6 Router Advertisement数据包发送到远程Windows计算机上。
二、风险等级
高危,CVSS评分9.8
三、影响范围
Windows 10 Version 1709 for 32-bit Systems
Windows 10 Version 1709 for ARM64-based Systems
Windows 10 Version 1709 for x64-based Systems
Windows 10 Version 1803 for 32-bit Systems
Windows 10 Version 1803 for ARM64-based Systems
Windows 10 Version 1803 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1903 for 32-bit Systems
Windows 10 Version 1903 for ARM64-based Systems
Windows 10 Version 1903 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for x64-based Systems
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)
四、修复建议/临时变通措施
1. 通过火绒个人版/企业版【漏洞修复】功能即可修复该漏洞。
个人用户使用软件“安全工具”>“漏洞修复”功能修复。
企业用户管理员通过“管理中心”>“漏洞修复”,统一扫描、修复终端漏洞。
(2)下载微软官方提供的补丁:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898
(3)内网等不便安装更新的用户,可以使用微软官方给出的临时变通措施:
禁用 ICMPv6 RDNSS
管理员身份打开PowerShell,复制以下命令运行:
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable
对应开启方法
管理员身份打开PowerShell,复制以下命令运行:
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable
提示:
命令中加粗部分*INTERFACENUMBER*需要用户自行查询需要禁用的接口编号,具体操作如下(举例说明):
1、以管理员身份打开PowerShell,输入netsh int ipv6 show interface,即可"显示接口参数"
可以根据此列表,查询到需要禁用的接口,替换命令内的*INTERFACENUMBER*字段,图例中替换后命令如下
netsh int ipv6 set int 8 rabaseddnsconfig=disable
返回“确定”后禁用成功,开启方法同上。上述操作均无需重启电脑。
五、参考资料:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898
https://github.com/advanced-threat-research/CVE-2020-16898