2020年10月14日,中测安华必达实验室技术团队依托监测平台第一时间发现微软公司(Microsoft)披露了Microsoft Windows TCP/IP 远程执行代码漏洞(CVE-2020-16898)。经分析,攻击者可利用该漏洞在部分Windows 10和Windows Server版本操作系统的主机上执行任意代码。技术团队初步预计,该漏洞影响范围非常广泛,并提醒用户及时采取消控措施。
此外,技术团队将持续对此漏洞开展分析,及时更新相关信息,并通告提醒用户。
1. 漏洞分析
1.1 漏洞信息概要
注:漏洞类型与危害等级参考[信息安全技术 安全漏洞分类 GB/T 33561-2017]
1.2 漏洞详情描述
Microsoft Windows中存在远程执行代码漏洞,该漏洞源于TCP/IP协议栈未正确处理使用选项类型25和偶数长度字段的ICMPv6 Router Advertisement(路由通告)数据包。攻击者可借助特制的ICMPv6 Router Advertisement(路由通告)数据包并将其发送到远程Windows计算机上,利用该漏洞在目标服务器或客户端上执行任意代码。以下产品及版本受到影响:Microsoft Windows 10 1709版本,Windows 10 1803版本,Windows 10 1809版本,Windows 10 1903版本,Windows 10 1909版本,Windows 10 2004版本;Windows Server 2019版本,Windows Server 1903版本,Windows Server 1909版本,Windows Server 2004版本。
1.3 漏洞影响评估
根据微软公司官方信息,远程攻击者无需接触目标主机也无需相应权限,只需将特制的ICMPv6 Router Advertisement(路由通告)数据包发送到远程Windows主机上,即可实现远程代码执行。必达实验室技术团队尚未发现针对该漏洞的利用工具。目前,互联网上已有相关的验证视频,不过该验证仅能造成远程主机蓝屏死机。技术团队评估认为,该漏洞极有可能被攻击者制作的蠕虫病毒实现远程代码执行,构成严重威胁。鉴于Windows产品在中国的用户群体较大,建议尽快去Microsoft官方网站下载升级补丁或更新至安全版本。
2. 修复建议
Microsoft官方公告信息给出详细修复建议,如下:
(1)应用Microsoft官方公告中的补丁:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-16898
(2) Microsoft官方提供的临时修复措施:
禁用ICMPv6 RDNSS。
使用以下PowerShell命令禁用ICMPv6 RDNSS,以阻止攻击者利用漏洞。此解决方法仅适用于Windows 1709及更高版本。
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable
注意:进行更改后,无需重启。
使用下面的PowerShell命令禁用该解决方法。
netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable
注意:禁用后,无需重启。
3. 时间线
4. 参考链接
[1]. https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-16898
[2]. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898
[3].https://mp.weixin.qq.com/s/zZoFm8E9DKgxddVZN3lALg
[4]. https://cert.360.cn/warning/detail?id=cd37c1ae12bd5a921b0261f55e50255b
[5]. https://s.tencent.com/research/bsafe/1148.html
[6]. https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cve-2020-16898-bad-neighbor/
[7]. https://mp.weixin.qq.com/s/nx7RJY4Ov62FsNVvfZnI9A
· 说明
1.此安全通告仅从安全技术分析角度用来描述该安全事件可能存在的安全问题,并以客观性、可靠性、及时性为分析原则,为用户提供安全通告服务,为网络安全消控工作提供支撑与保障;
2.此安全通告仅对分析时间段内的安全事件现有状况进行分析并成文,通告发布后若安全事件出现变更情况,此通告内容并非完全适用;
3.考虑到分析技术的局限性,除此安全通告提供的技术分析内容外,此安全事件可能存在未被发现的其他安全风险;
4.此安全通告由必达实验室提供技术分析,并编制成文,中测安华拥有对此安全通告的修改和解释权。
5.使用者在传播、采纳和实施此安全通告提供的信息时应当遵守相关法律政策规定,若存在违反行为,或因使用此安全通告引起的任何结果,均由使用者本人负责。
6.必达实验室将持续跟踪该漏洞的相关情况,如需了解更多安全技术服务,或此安全通告的内容信息存在问题,请及时与我们联系。