微軟TCP/IP遠程執行代碼漏洞風險通告

2020-10-15 火絨安全實驗室

10月14日,微軟宣布了Windows IPv6堆棧中的一個極為關鍵的漏洞(CVE-2020-16898,又稱「Bad Neighbor」),這意味攻擊者可以利用該漏洞發送惡意製作的數據包,從而獲取在目標伺服器或客戶端上執行代碼的能力。該漏洞評級為「 Critical」(高危),鑑於漏洞有被利用的可能,我們建議用戶儘快更新相關補丁。

一、漏洞描述

Windows TCP/IP堆棧不正確地處理ICMPv6 Router Advertisement數據包時,存在一個遠程執行代碼漏洞。成功利用此漏洞的攻擊者可以獲得在目標伺服器或客戶端上執行代碼的能力。要利用此漏洞,攻擊者必須將經過特殊設計的ICMPv6 Router Advertisement數據包發送到遠程Windows計算機上。

二、風險等級

高危,CVSS評分9.8

三、影響範圍

Windows 10 Version 1709 for 32-bit Systems

Windows 10 Version 1709 for ARM64-based Systems

Windows 10 Version 1709 for x64-based Systems

Windows 10 Version 1803 for 32-bit Systems

Windows 10 Version 1803 for ARM64-based Systems

Windows 10 Version 1803 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 2004 for 32-bit Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for x64-based Systems

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 2004 (Server Core installation)

四、修復建議/臨時變通措施

1. 通過火絨個人版/企業版【漏洞修復】功能即可修復該漏洞。

個人用戶使用軟體「安全工具」>「漏洞修復」功能修復。

企業用戶管理員通過「管理中心」>「漏洞修復」,統一掃描、修復終端漏洞。

(2)下載微軟官方提供的補丁:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

(3)內網等不便安裝更新的用戶,可以使用微軟官方給出的臨時變通措施:

禁用 ICMPv6 RDNSS

管理員身份打開PowerShell,複製以下命令運行:

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

對應開啟方法

管理員身份打開PowerShell,複製以下命令運行:

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable

提示:

命令中加粗部分*INTERFACENUMBER*需要用戶自行查詢需要禁用的接口編號,具體操作如下(舉例說明):

1、以管理員身份打開PowerShell,輸入netsh int ipv6 show interface,即可"顯示接口參數"

可以根據此列表,查詢到需要禁用的接口,替換命令內的*INTERFACENUMBER*欄位,圖例中替換後命令如下

netsh int ipv6 set int 8 rabaseddnsconfig=disable

返回「確定」後禁用成功,開啟方法同上。上述操作均無需重啟電腦。

五、參考資料

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

https://github.com/advanced-threat-research/CVE-2020-16898

相關焦點

  • 華碩路由器遠程代碼執行漏洞通告
    2020年08月03日, 360CERT監測發現 業內安全廠商 發布了 華碩RT-AC系列路由器遠程代碼執行 的風險通告,漏洞等級:高危,漏洞評分:8.3分華碩AC系列路由器 存在 緩衝區溢出漏洞,遠程攻擊者 通過 向受影響的設備發送特製數據包,可以造成 遠程代碼執行 的影響。
  • SMB遠程代碼執行漏洞CVE-2020-0796安全通告
    【漏洞名稱】SMB遠程代碼執行漏洞(CVE-2020-0796),有安全研究者取名「SMBGhost」。SMB 3.1.1協議中處理壓縮消息時,對其中數據沒有經過安全檢查,直接使用會引發內存破壞漏洞,可能被攻擊者利用遠程執行任意代碼。攻擊者利用該漏洞無須權限即可實現遠程代碼執行,受黑客攻擊的目標系統只需開機在線即可能被入侵。
  • CVE-2020-16898 Windows tcp/ip遠程代碼執行漏洞復現
    No.2 漏洞分析2.1 漏洞背景2020年10月14日,某監測發現 Microsoft 發布了 TCP/IP遠程代碼執行漏洞的風險通告,該漏洞是由於Windows TCP/IP堆棧在處理IMCPv6 Router Advertisement(路由通告)數據包時存在漏洞,遠程攻擊者通過構造特製的
  • 「安全通告」微軟Type 1字體解析遠程代碼執行漏洞
    網絡安全近日,微軟發布了一份編號ADV200006的緊急漏洞通告,該通告稱Adobe Type Manager庫中存在兩個遠程代碼執行0 Day漏洞,攻擊者可以通過多種方式利用此漏洞,比如誘導受害者在Windows的預覽中訪問一個特殊構造的文檔。
  • 2020-10 補丁日:微軟多個產品高危漏洞安全風險通告
    ,存在一處遠程執行代碼漏洞。CVE-2020-16898[嚴重]Windows TCP/IP 遠程代碼執行漏洞易利用易利用未公開不存在遠程代碼執行CVE-2020-16968[嚴重]Windows 攝像頭編解碼器遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16951[嚴重]Microsoft SharePoint 遠程代碼執行漏洞可利用可利用未公開不存在遠程代碼執行CVE-2020-16952[嚴重]
  • 「網絡安全」關於微軟DNSServer遠程代碼執行高危漏洞 的預警通報
    近日,微軟發布補丁修復了一個標註為遠程代碼執行的DNSServer漏洞,攻擊者成功利用該漏洞可執行遠程代碼,無需用戶幹預的情況下實現「蠕蟲式」攻擊。該漏洞編號:CVE-2020-1350,安全級別為「高危」。
  • 漏洞通告】微軟10月安全更新多個產品高危漏洞通告
    在處理內存中的對象時存在遠程代碼執行漏洞。SharePoint遠程代碼執行漏洞Microsoft SharePoint在檢查應用程式包的源標記時,存在兩個遠程代碼執行漏洞(CVE-2020-16951、CVE-2020-16952)。
  • 深入解讀:Windows HTTP.sys遠程代碼執行漏洞跟蹤進展
    此次微軟公告MS15-034 IIS7 http.sys漏洞,引來業界的關注,其震蕩性不亞於Windows領域的心臟出血事件。綠盟科技威脅響應中心啟動緊急響應機制,在4月15日、4月16日分別發布緊急通告及產品規則升級通告,受如下系統影響的用戶還請儘快升級廠商的補丁及綠盟科技產品規則包。
  • 微軟發布兩個緊急安全更新:修復遠程代碼執行漏洞
    今天微軟發布了兩個不定期的例外(Out-of-Band)安全更新,重點修復了 Windows Codecs 庫和Visual Studio Code 應用中的安全問題。這兩個例外安全更新是本月補丁星期二活動日之後再發布的,主要修復了兩款產品中的「遠程代碼執行」漏洞,能夠讓攻擊者在受影響的設備上遠程執行代碼。
  • 業內分析:國內用戶應警惕SMB遠程代碼執行漏洞
    新華社北京3月13日電(記者陽娜)針對北京時間12日晚微軟披露的最新的SMB遠程代碼執行漏洞(CVE-2020-0796),騰訊安全網絡資產風險檢測系統13日提供了分析數據,其顯示,目前全球範圍可能存在漏洞的SMB伺服器總量約10萬臺,直接暴露在公網,可能成為漏洞攻擊的首輪目標。
  • [圖]微軟發布兩個緊急安全更新:修復遠程代碼執行漏洞
    今天微軟發布了兩個不定期的例外(Out-of-Band)安全更新,重點修復了 Windows Codecs 庫和Visual Studio Code 應用中的安全問題。這兩個例外安全更新是本月補丁星期二活動日之後再發布的,主要修復了兩款產品中的「遠程代碼執行」漏洞,能夠讓攻擊者在受影響的設備上遠程執行代碼。
  • SMB遠程代碼執行漏洞(CVE-2020-0796)分析
    2020年3月10日,微軟發布安全公告,其中包括一個Windows SMBv3 遠程代碼執行漏洞(CVE-2020-0796)。該漏洞源於SMBv3協議在處理惡意壓縮數據包時,進入了錯誤流程。遠程未經身份驗證的攻擊者可利用該漏洞在應用程式中執行任意代碼。
  • 微軟修復遠程執行漏洞:能通過iPhone視頻文件遠程控制PC
    由於微軟作業系統在處理 HEVC 文件方式上存在漏洞,那些使用 Windows 設備的 iPhone 用戶在瀏覽和編輯視頻文件的時候存在被黑客遠程攻擊的風險。該漏洞於上周被發現,存在於微軟的 Windows Codecs Library 中,能接管未修復的設備並執行遠程代碼。
  • 微軟修復遠程執行漏洞:能通過iPhone視頻文件遠程控制PC
    由於微軟作業系統在處理 HEVC 文件方式上存在漏洞,那些使用 Windows 設備的 iPhone 用戶在瀏覽和編輯視頻文件的時候存在被黑客遠程攻擊的風險。該漏洞於上周被發現,存在於微軟的 Windows Codecs Library 中,能接管未修復的設備並執行遠程代碼。美國網絡安全和基礎設施安全局已於上周五將威脅標記為「威脅」。
  • 「網絡安全預警通報」微軟系統遠程桌面服務存在遠程代碼執行漏洞
    北京網絡與信息安全信息通報中心通報,2019年05月15日,微軟公司官方發布了5月安全更新補丁,此次更新共修復了82個漏洞,其中Windows作業系統遠程桌面服務漏洞(CVE-2019-0708)威脅程度較高,攻擊者可以利用此漏洞遠程無需用戶驗證通過發送構造特殊的惡意數據在目標系統上執行惡意代碼
  • 每日漏洞|HTTP.sys遠程代碼執行
    上篇文章 介紹了Host頭攻擊,今天我們講一講HTTP.sys遠程代碼執行漏洞。HTTP.sys遠程代碼執行漏洞實質是HTTP.sys的整數溢出漏洞,當攻擊者向受影響的Windows系統發送特殊設計的HTTP 請求,HTTP.sys 未正確分析時就會導致此漏洞,成功利用此漏洞的攻擊者可以在系統帳戶的上下文中執行任意代碼。
  • Weblogic ConSole HTTP 協議代碼執行漏洞
    Weblogic ConSole HTTP 協議代碼執行漏洞Server Console ,並在 WebLogic Server Console 執行任意代碼 0x02 風險等級360CERT對該漏洞的評定結果如下
  • 【網絡安全】關於TeamViewer 遠程代碼執行高危漏洞的預警通報
    近日,TeamViewer官方發布TeamViewer URL處理的風險通告,用於遠程訪問和控制各種類型的計算機系統和行動裝置,同時提供協作和演示功能(例如,桌面共享,Web會議,文件傳輸等),可在Windows、macOS、Linux、Chrome OS、iOS、Android、Windows RT Windows Phone 8和
  • 首發|CertiK:深度解析F5 BIG-IP遠程代碼執行漏洞
    前言今日一早,推特以及各大技術論壇上炸開了鍋,安全圈子的人都在討論F5設備裡遠程代碼執行的漏洞。很多討論的內容,大部分是在分享如何尋找目標,利用漏洞,並沒有關於對漏洞成因的分析。CertiK的安全研究員下載了存在漏洞的程序,搭建環境復現漏洞後,對漏洞的起因進行了分析,並在下文分享給大家。
  • 關於Oracle Weblogic遠程代碼執行高危漏洞的預警通報
    近日,Oracle官方發布2020年7月關鍵補丁更新,共修復443個危害程度不同的安全漏洞。其中針對 WebLogic Server Core組件的高危漏洞4個,漏洞編號分別為CVE-2020-14625、CVE-2020-14644、CVE-2020-14645、CVE-2020-14687。一、漏洞情況T3、IIOP 協議用於在WebLogic和其他Java程序之間傳輸數據。