通告概要
2020年10月14日,在微软每月的例行补丁日当天,修复了一个Windows IPv6协议栈中的严重远程代码执行漏洞,该漏洞CVSS威胁评分为严重等级的9.0,远程攻击者可能无需用户验证通过发送恶意构造的ICMPv6路由广播包导致目标系统代码执行或拒绝服务。
奇安信威胁情报中心红雨滴团队第一时间跟进了该漏洞,目前已经确认在本地网络可以稳定地导致目标系统蓝屏崩溃,构成非常现实的批量系统拒绝服务风险,强烈建议相关企业用户安装对应的安全补丁。
漏洞概要
漏洞名称 | Microsoft Windows IPv6远程代码执行拒绝服务漏洞(CVE-2020-16898) | ||||
威胁类型 | 远程代码执行 | 威胁等级 | 严重 | 漏洞ID | CVE-2020-16898 |
利用场景 | 远程无需用户验证的攻击者通过发送恶意构造的ICMPv6路由广播包导致目标系统代码执行或蓝屏崩溃。 | ||||
受影响系统及应用版本 | |||||
Windows 10 Version 1709 for 32-bit Systems | |||||
Windows 10 Version 1709 for ARM64-based Systems | |||||
Windows 10 Version 1709 for x64-based Systems | |||||
Windows 10 Version 1803 for 32-bit Systems | |||||
Windows 10 Version 1803 for ARM64-based Systems | |||||
Windows 10 Version 1803 for x64-based Systems | |||||
Windows 10 Version 1809 for 32-bit Systems | |||||
Windows 10 Version 1809 for ARM64-based Systems | |||||
Windows 10 Version 1809 for x64-based Systems | |||||
Windows 10 Version 1903 for 32-bit Systems | |||||
Windows 10 Version 1903 for ARM64-based Systems | |||||
Windows 10 Version 1903 for x64-based Systems | |||||
Windows 10 Version 1909 for 32-bit Systems | |||||
Windows 10 Version 1909 for ARM64-based Systems | |||||
Windows 10 Version 1909 for x64-based Systems | |||||
Windows 10 Version 2004 for 32-bit Systems | |||||
Windows 10 Version 2004 for ARM64-based Systems | |||||
Windows 10 Version 2004 for x64-based Systems | |||||
Windows Server 2019 | |||||
Windows Server 2019 (Server Core installation) | |||||
Windows Server, version 1903 (Server Core installation) | |||||
Windows Server, version 1909 (Server Core installation) | |||||
Windows Server, version 2004 (Server Core installation) | |||||
漏洞描述
该漏洞为Windows系统TCP/IP协议栈处理ICMPv6路由广播包时存在的远程代码执行漏洞,通过发送恶意构造的ICMPv6路由广播包,成功利用此漏洞可导致远程代码执行或拒绝服务。
影响面评估
该漏洞影响几乎全版本的Win 10系统,影响面巨大,奇安信威胁情报中心强烈建议受影响用户及时更新补丁,做好相应防护。
处置建议
临时处置措施
针对该漏洞,微软已发布相关补丁更新,见如下链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898
对于暂时无法进行更新的用户,可以通过以下命令临时禁用系统中的ICMPv6 RDNSS,以防止攻击者使用此漏洞,需要注意的是该方法仅适用于Windows 1709及更新的系统,该方法无需重启系统
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable |
可通过以下命令撤销之前的禁用命令
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable |
参考资料
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cve-2020-16898-bad-neighbor/
声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
