2020年10月13日,微软发布预警,Windows TCP/IP堆栈不正确的处理ICMPv6 Router Advertisement(路由通告)数据包时,存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。该漏洞(CVE-2020-16898)官方评级严重,目前微软官方已提供相应的月度安全补丁以修复该漏洞。

漏洞信息

  • 漏洞编号:CVE-2020-16898
  • 漏洞评级:严重
  • 影响范围:
    • Windows Server 2019
    • Windows Server 2019 (Server Core installation)
    • Windows Server, version 1903 (Server Core installation)
    • Windows Server, version 1909 (Server Core installation)
    • Windows Server, version 2004 (Server Core installation)

详细描述

Windows TCP/IP堆栈不正确的处理ICMPv6 Router Advertisement数据包时,存在一个远程执行代码漏洞(CVE-2020-16898)。如果攻击者要利用此漏洞,必须将特制的ICMPv6 Router Advertisement数据包发送到远程Windows计算机。远程攻击者无需接触目标计算机也无需获取相应权限,只需向目标计算机发送攻击数据包即可能实现RCE(remote command/code execute)。目前尚无EXP(Exploit)公开。

安全建议

及时更新官方补丁。

解决方法

您可以使用以下任一解决方法:
  • 前往微软官方下载相应的补丁进行更新。请参见CVE-2020-16898 | Windows TCP/IP Remote Code Execution Vulnerability
  • 阿里云云安全中心Windows系统漏洞模块已支持对该漏洞补丁一键检测和修复,详情请参见查看和处理漏洞
  • 通过禁用ICMPv6 RDNSS,缓解风险。
    通过以下PowerShell命令禁用ICMPv6 RDNSS,以防止攻击者利用此漏洞。此解决方法仅适用于Windows 1709及更高版本。
    netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable
    说明 进行更改后,无需重新启动。
    您也可以使用以下PowerShell命令重新开启ICMPv6 RDNSS,但无法再缓解被攻击的风险。
    netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable
    说明 进行更改后,无需重新启动。

公告方

阿里云计算有限公司