TCP/IP远程代码执行漏洞影响全系列Windows系统,腾讯安全提供全面解决方案

2021-02-10 06:58:42
2021年2月10日,Microsoft在2月例行补丁日发布了2个TCP/IP高危漏洞(CVE-2021-24074/CVE-2021- 24086)的补丁。腾讯安全团队已第一时间对本次修复的漏洞进行分析,腾讯主机安全(云镜)、零信任无边界访问控制系统(iOA)已支持检测该漏洞,腾讯云防火墙、高级威胁检测系统(御界)已支持对检测该漏洞的利用攻击。

一、背景

2021210日,Microsoft2月例行补丁日发布了2TCP/IP高危漏洞(CVE-2021-24074/CVE-2021- 24086)的补丁。

CVE-2021-24086被标记为拒绝服务类型,攻击者可以通过构造特殊的IP数据包触发漏洞,使用该漏洞可能导致目标主机发生蓝屏。

CVE-2021-24074被标记为远程代码执行,攻击者可以通过构造特殊的IP数据包触发漏洞,成功利用此漏洞的攻击者可能获得在目标服务器上执行任意代码的能力。

通过对比补丁,微软本次对Windows TCP/IP模块的修改包括IPv4IPv6的包重组、分片处理部分。该漏洞几乎影响所有现有主流操作系统,漏洞危害为严重级,在最严重的情况下可能被蠕虫化利用,值得政企用户高度重视。

腾讯安全专家建议用户尽快升级修复,避免遭遇黑客攻击。腾讯安全团队已第一时间对本次修复的漏洞进行分析,腾讯主机安全(云镜)、零信任无边界访问控制系统(iOA)已支持检测该漏洞,腾讯云防火墙、高级威胁检测系统(御界)已支持对检测该漏洞的利用攻击,相关规则库已灰度上线。

二、影响范围:

Win7 SP1 – Windows10 20H2

Windows Server 2008 - Windows Server 20H2

三、腾讯安全解决方案:

1.腾讯T-Sec主机安全(云镜)已支持检测Windows TCP/IP远程执行代码漏洞,漏洞库正灰度同步上线;


2.腾讯T-Sec云防火墙基础防御功能已支持检测Windows TCP/IP远程执行代码漏洞的利用攻击,漏洞规则库正灰度同步上线;


3.腾讯T-Sec高级威胁检测系统(御界)已支持检测Windows TCP/IP远程执行代码漏洞的利用攻击,漏洞规则库正灰度同步上线。


4.腾讯零信任无边界访问控制系统(iOA)已支持检测Windows TCP/IP远程执行代码漏洞,政企用户可以使用腾讯零信任iOA系统安装补丁;


5.个人用户推荐使用腾讯电脑管家或Windows更新安装补丁。

Windows 7Windows Server 2008已在2020114日后停止安全升级服务,Windows 7/Windows Server 2008的普通用户可能无法得到升级补丁。已购买微软企业延长安全更新服务(ESU服务)的用户可以继续获得补丁。腾讯安全专家建议受影响的用户使用腾讯安全方案检测和拦截风险,并建议适时安排部署升级到新的操作系统。


对部分不能安装补丁的win7用户,可参考微软官方的缓解方案:

1.将全局重汇编极限设置为 0
以下命令禁用数据包重组。丢弃任何无序数据包。有效方案不应超过 50 个无序片段。我们建议在更新生产系统之前进行测试。
Netsh int ipv6 set global reassemblylimit=0

进一步 netsh 指导可以在 netsh 找到。

变通办法的影响
丢弃无序数据包时可能会丢失数据包。

如何撤消变通方法
还原为默认设置 "267748640”:
Netsh int ipv6 set global reassemblylimit=267748640

2.配置防火墙或负载平衡器以禁止 Ipv6 UDP 分段

参考链接:

https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2021-24074

https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2021-24086

https://msrc.microsoft.com/update-guide/releaseNote/2021-Feb


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。

最新资讯