CVE-2020-16898 | Windows TCP/IP远程执行代码漏洞风险通告,POC已公开,腾讯御界支持检测

2020-10-14 10:05:42
远程攻击者无须接触目标计算机也勿须相应权限,向目标计算机发送攻击数据包即可能实现RCE,目前网上已有验证POC公开,可导致系统蓝屏。

Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement(路由通告)数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。

 

要利用此漏洞,攻击者必须将特制的ICMPv6(路由通告)数据包发送到远程Windows计算机远程攻击者无须接触目标计算机也勿须相应权限,向目标计算机发送攻击数据包即可能实现RCE,国外社交媒体已有攻击POC被公开,腾讯安全团队验证,该POC可触发BSOD(蓝屏死机)

此更新通过更正Windows TCP/IP堆栈处理ICMPv6(路由通告)数据包的方式来解决此漏洞。

 

漏洞详情:

微软于20201014日发布当月常规安全更新,本次更新修复的Windows TCP/IP远程执行代码漏洞(CVE-2020-16898)引起行业高度关注。由于Windows对ICMPv6 Router Advertisement(路由通告)数据包的检查不充分,匿名攻击者可以通过发送特殊的ICMPv6 Router Advertisement数据包来利用此漏洞,在启用了IPv6的计算机中,仅通过发送特殊的IP数据包就可能造成远程任意代码执行。 

 

漏洞影响版本:

Windows 10 多个版本,Windows Server 20192004等多个服务器版本

 

漏洞等级:高危,CVSS评分9.8

 

漏洞修复:

微软已发布安全补丁,腾讯安全专家推荐受影响的用户尽快使用Windows 安全更新升级安装。腾讯电脑管家、腾讯T-Sec终端安全管理系统(御点)将同步升级漏洞库,以方便用户安装补丁。

 

用户也可手动下载安装,参考链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

 

腾讯安全解决方案:

腾讯T-Sec高级威胁检测系统(腾讯御界)已支持对黑客利用CVE-2020-16898漏洞的攻击行为进行检测。腾讯T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。

 

漏洞变通解决办法:

可以禁用ICMPv6 RDNSS来缓解风险。

 

可以使用以下PowerShell命令禁用ICMPv6 RDNSS,以防止攻击者利用此漏洞。此解决方法仅适用于Windows 1709及更高版本。

 

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

 

注意: 进行更改后,无需重新启动。

 

可以使用以下PowerShell命令禁用上述解决方法。

 

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable

 

注意: 禁用替代方法后,无需重新启动。

 

参考链接:

1.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

 

2.202010月微软安全更新指南:

https://portal.msrc.microsoft.com/zh-cn/security-guidance/releasenotedetail/2020-Oct

 

最新资讯