2020年10月13日,微軟發布預警,Windows TCP/IP堆棧不正確的處理ICMPv6 Router Advertisement(路由通告)資料包時,存在一個遠程執行代碼漏洞。成功利用此漏洞的攻擊者可以獲得在目標伺服器或用戶端上執行代碼的能力。該漏洞(CVE-2020-16898)官方評級嚴重,目前微軟官方已提供相應的月度安全補丁以修複該漏洞。
漏洞資訊
- 漏洞編號:CVE-2020-16898
- 漏洞評級:嚴重
- 影響範圍:
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
- Windows Server, version 2004 (Server Core installation)
詳細描述
Windows TCP/IP堆棧不正確的處理ICMPv6 Router Advertisement資料包時,存在一個遠程執行代碼漏洞(CVE-2020-16898)。如果攻擊者要利用此漏洞,必須將特製的ICMPv6 Router Advertisement資料包發送到遠程Windows電腦。遠程攻擊者無需接觸目標電腦也無需擷取相應許可權,只需向目標電腦發送攻擊資料包即可能實現RCE(remote command/code execute)。目前尚無EXP(Exploit)公開。
安全建議
及時更新官方補丁。
解決方案
您可以使用以下任一解決方案:
- 前往微軟官方下載相應的補丁進行更新。請參見CVE-2020-16898 | Windows TCP/IP Remote Code Execution Vulnerability。
- 阿里雲Security CenterWindows系統漏洞模組已支援對該漏洞補丁一鍵檢測和修複,詳情請參見查看和處理漏洞。
- 通過禁用ICMPv6 RDNSS,緩解風險。通過以下PowerShell命令禁用ICMPv6 RDNSS,以防止攻擊者利用此漏洞。此解決方案僅適用於Windows 1709及更高版本。
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable說明 變更後,無需重新啟動。您也可以使用以下PowerShell命令重新開啟ICMPv6 RDNSS,但無法再緩解被攻擊的風險。netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable說明 變更後,無需重新啟動。
公告方
阿里雲計算有限公司