科技实验室|微软TCP/IP远程执行代码漏洞风险通告

10月14日 , 微软宣布了WindowsIPv6堆栈中的一个极为关键的漏洞(CVE-2020-16898 , 又称“BadNeighbor”) , 这意味攻击者可以利用该漏洞发送恶意制作的数据包 , 从而获取在目标服务器或客户端上执行代码的能力 。 该漏洞评级为“Critical”(高危) , 鉴于漏洞有被利用的可能 , 我们建议用户尽快更新相关补丁 。
一、漏洞描述
WindowsTCP/IP堆栈不正确地处理ICMPv6RouterAdvertisement数据包时 , 存在一个远程执行代码漏洞 。 成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力 。 要利用此漏洞 , 攻击者必须将经过特殊设计的ICMPv6RouterAdvertisement数据包发送到远程Windows计算机上 。
二、风险等级
高危 , CVSS评分9.8
三、影响范围
Windows10Version1709for32-bitSystems
Windows10Version1709forARM64-basedSystems
Windows10Version1709forx64-basedSystems
Windows10Version1803for32-bitSystems
Windows10Version1803forARM64-basedSystems
Windows10Version1803forx64-basedSystems
Windows10Version1809for32-bitSystems
Windows10Version1809forARM64-basedSystems
Windows10Version1809forx64-basedSystems
Windows10Version1903for32-bitSystems
Windows10Version1903forARM64-basedSystems
Windows10Version1903forx64-basedSystems
Windows10Version1909for32-bitSystems
Windows10Version1909forARM64-basedSystems
Windows10Version1909forx64-basedSystems
Windows10Version2004for32-bitSystems
Windows10Version2004forARM64-basedSystems
Windows10Version2004forx64-basedSystems
WindowsServer2019
WindowsServer2019(ServerCoreinstallation)
WindowsServer,version1903(ServerCoreinstallation)
WindowsServer,version1909(ServerCoreinstallation)
WindowsServer,version2004(ServerCoreinstallation)
四、修复建议/临时变通措施
1.通过火绒个人版/企业版【漏洞修复】功能即可修复该漏洞 。
科技实验室|微软TCP/IP远程执行代码漏洞风险通告
文章图片
个人用户使用软件“安全工具”>“漏洞修复”功能修复 。
科技实验室|微软TCP/IP远程执行代码漏洞风险通告
文章图片
企业用户管理员通过“管理中心”>“漏洞修复” , 统一扫描、修复终端漏洞 。
科技实验室|微软TCP/IP远程执行代码漏洞风险通告
文章图片
(2)下载微软官方提供的补丁:
https://portal.m src.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898
(3)内网等不便安装更新的用户 , 可以使用微软官方给出的临时变通措施:
禁用ICMPv6RDNSS
管理员身份打开PowerShell , 复制以下命令运行:
netshintipv6setint*INTERFACENUMBER*rabaseddnsconfig=disable
对应开启方法
管理员身份打开PowerShell , 复制以下命令运行:
netshintipv6setint*INTERFACENUMBER*rabaseddnsconfig=enable
提示:
命令中加粗部分*INTERFACENUMBER*需要用户自行查询需要禁用的接口编号 , 具体操作如下(举例说明):
1、以管理员身份打开PowerShell , 输入netshintipv6showinterface , 即可''显示接口参数''
科技实验室|微软TCP/IP远程执行代码漏洞风险通告
文章图片
可以根据此列表 , 查询到需要禁用的接口 , 替换命令内的*INTERFACENUMBER*字段 , 图例中替换后命令如下


推荐阅读