通告摘要
近日,微软发布2月份的漏洞补丁程序,其中包含3个Windows TCP/IP漏洞,这些漏洞无需交互及身份认证且可远程触发,成功利用这些漏洞可导致目标系统宕机或远程代码执行。漏洞为:CVE-2021-24074、CVE-2021-24094、CVE-2021-24086。其中,CVE-2021-24086漏洞奇安信CERT已验证,未经身份认证的攻击者可远程触发拒绝服务。
漏洞描述
近日,微软发布2月份的漏洞补丁程序,其中包含3个Windows TCP/IP漏洞,这些漏洞无需交互及身份认证且可远程触发,成功利用这些漏洞可导致目标系统宕机或远程代码执行。其中,CVE-2021-24086漏洞奇安信CERT已验证,未经身份认证的攻击者可远程触发拒绝服务。鉴于这些漏洞危害较大,建议客户尽快自查修复:
CVE编号 | 风险等级 | 漏洞名称 | 利用可能 |
CVE-2021-24074 | 紧急 | Windows TCP/IP 远程代码执行漏洞 | N/N/M |
CVE-2021-24094 | 紧急 | Windows TCP/IP 远程代码执行漏洞 | N/N/M |
CVE-2021-24086 | 重要 | Windows TCP/IP拒绝服务漏洞 | N/N/M |
CVE-2021-24074:
Windows IPv4 协议栈存在一处远程代码执行漏洞,远程攻击者可通过向目标系统发送特制数据包来利用此漏洞,成功的利用可能允许攻击者在目标系统上执行任意代码。
CVE-2021-24094:
Windows IPv6协议栈存在一处远程代码执行漏洞,远程攻击者可通过向目标系统发送特制数据包来利用此漏洞,成功利用此漏洞可导致目标系统拒绝服务(蓝屏)或潜在的任意代码执行。
CVE-2021-24086:
Windows IPv6协议栈存在一处拒绝服务漏洞,远程攻击者可通过向目标系统发送特制数据包来利用此漏洞,成功利用此漏洞可导致目标系统拒绝服务(蓝屏)。
注:“利用可能”字段包含三个维度(是否公开[Y/N]/是否在野利用[Y/N]/可利用性评估[D/M/L/U/NA])
简写 | 定义 | 翻译 |
Y | Yes | 是 |
N | No | 否 |
D | 0-Exploitation detected | 0-检测到利用 |
M | 1-Exploitation more likely * | 1-被利用可能性极大 |
L | 2-Exploitation less likely ** | 2-被利用可能性一般 |
U | 3-Exploitation unlikely *** | 3-被利用可能性很小 |
NA | 4-N/A | 4-不适用 |
风险等级
奇安信 CERT风险评级为:高危
风险等级:蓝色(一般事件)
处置建议
使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。
也可以采用以下官方解决方案及缓解方案来防护此漏洞:
Windows自动更新
Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统将自动检查并下载可用更新
4、重启计算机,安装更新
系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
手动安装补丁
另外,对于不能自动更新的系统版本(如Windows 7、Windows Server 2008、Windows Server 2008 R2),可参考以下链接下载适用于该系统的12月补丁并安装:
https://msrc.microsoft.com/update-guide/releaseNote/2021-Feb
如果无法立即安装更新,可参考以下步骤缓解漏洞:
CVE-2021-24074:
1、可通过以下命令(管理员权限)将sourceroutingbehavior 设置为
"drop":
netsh int ipv4 set global sourceroutingbehavior=drop
如需恢复默认设置,可使用以下命令:
netsh int ipv4 set global sourceroutingbehavior=dontforward
2、配置防火墙或负载平衡器以禁止源路由请求
CVE-2021-24094、CVE-2021-24086:
1、可通过以下命令(管理员权限)将global reassemblylimit 设置为0:
以下命令将禁用数据包重组,乱序数据包将会被丢弃。建议在充分测试之后更新生产系统!
Netsh int ipv6 set global reassemblylimit=0
如需恢复默认设置,可使用以下命令:
Netsh int ipv6 set global reassemblylimit=267748640
2、配置防火墙或负载平衡器以禁止IPv6 UDP分片
参考资料
[1]https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-24074
[2]https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-24094
[3]https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-24086
时间线
2021年2月10日,奇安信 CERT发布安全风险通告
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
