绿盟

绿盟科技

  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

【安全通告】Windows TCP/IP远程代码执行漏洞 (CVE-2020-16898)

2020-10-14

综述

当地时间10月13日,微软最新的月度补丁更新中修复了一枚存在于Windows TCP/IP堆栈中的Critical级别漏洞(CVE-2020-16898,代号“Bad Neighbor”)。攻击者通过发送恶意制作的ICMPv6 Router Advertisement数据包,有可能在远程系统上执行任意代码。

McAfee 表示,MAPP(Microsoft Active Protection)计划成员共享的概念验证代码既简单又可靠,可导致蓝屏死机。

微软官方给出的评分为 9.8 :CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:P/RL:O/RC:C。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

漏洞概述

当Windows TCP/IP堆栈未正确处理使用Option类型为 25(递归DNS服务器)且Length字段值为偶数的 ICMPv6 Router Advertisement数据包时,存在漏洞。

当Length值为偶数时,Windows TCP/IP协议栈错误地将网络缓冲区提前了8个字节。这是因为堆栈内部以16字节为增量进行计数,没有考虑到使用非RFC兼容长度值的情况。这种不匹配导致堆栈将当前option的最后8个字节解释为第二个option的开始,最终导致缓冲区溢出和潜在的RCE。

参考链接:

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cve-2020-16898-bad-neighbor/

受影响产品版本

Windows 10 Version 1709 for 32-bit Systems

Windows 10 Version 1709 for ARM64-based Systems

Windows 10 Version 1709 for x64-based Systems

Windows 10 Version 1803 for 32-bit Systems

Windows 10 Version 1803 for ARM64-based Systems

Windows 10 Version 1803 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 2004 for 32-bit Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for x64-based Systems

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 2004 (Server Core installation)

解决方案

微软官方已针对受影响系统发布安全补丁,强烈建议相关用户尽快更新。补丁升级,参考链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

另外,还提供了以下缓解措施:

禁用ICMPv6 RDNSS

使用下面的PowerShell命令可禁用ICMPv6 RDNSS,以防止攻击者利用此漏洞。此解决方法仅适用于Windows 1709及更高版本。

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

备注: 进行更改后,无需重新启动。

如需禁用以上缓解措施,执行如下命令:

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable

备注:执行后也无需重新启动。

 

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

 

关于绿盟科技

绿盟科技集团股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

绿盟科技集团股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:绿盟科技,股票代码:300369。

<<上一篇

【安全通告】Apache Solr ConfigSet API 上传功能漏洞 (CVE-2020-13957)

>>下一篇

【安全通告】Adobe 10月安全更新

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入绿盟科技,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
绿盟科技社区
绿盟科技社区
资料下载|在线问答|技术交流
微博
微博

微博

微信
微信

微信

B站
B站

B站

抖音
抖音

抖音

视频号
视频号

视频号

服务热线

400-818-6868

服务时间

7*24小时

© 2024 NSFOCUS 绿盟科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号