Sec Hotspot 首页  排行榜  收藏本站  技术博客  RSS
统计信息
已收录文章数量:17562 篇
已收录公众号数量:91 个
本站文章为爬虫采集,如有侵权请告知
已收录微信公众号
阿里云先知 网安寻路人 网信中国 区块链大本营 白说区块链 区块链投资家 区块链官微 区块链铅笔Blockchain HACK学习呀 二道情报贩子 合天智汇 小白帽学习之路 小米安全中心 弥天安全实验室 SAINTSEC SecPulse安全脉搏 TideSec安全团队 360安全卫士 游侠安全网 计算机与网络安全 安全祖师爷 安全学习那些事 腾讯安全联合实验室 黑客技术与网络安全 安全圈 腾讯御见威胁情报中心 Python开发者 Python之禅 编程派 Python那些事 Python程序员 安全威胁情报 吾爱破解论坛 行长叠报 安在 i春秋 嘶吼专业版 E安全 MottoIN 网信防务 网安杂谈 数说安全 互联网安全内参 漏洞战争 安全分析与研究 邑安全 ChaMd5安全团队 天融信阿尔法实验室 安全牛 SecWiki 安全学术圈 信安之路 漏洞感知 浅黑科技 Secquan圈子社区 奇安信集团 奇安信 CERT 国舜股份 雷神众测 盘古实验室 美团安全应急响应中心 瓜子安全应急响应中心 顺丰安全应急响应中心 蚂蚁金服安全响应中心 携程安全应急响应中心 滴滴安全应急响应中心 字节跳动安全中心 百度安全应急响应中心 腾讯安全应急响应中心 网易安全应急响应中心 OPPO安全应急响应中心 京东安全应急响应中心 Bypass CNNVD安全动态 安恒应急响应中心 天融信每日安全简报 奇安信威胁情报中心 看雪学院 黑白之道 水滴安全实验室 安全客 木星安全实验室 云鼎实验室 绿盟科技安全预警 白帽汇 深信服千里目安全实验室 腾讯玄武实验室 长亭安全课堂 FreeBuf 绿盟科技 nmask
【安全风险通告】Windows TCP/IP远程代码执行漏洞安全风险通告
本文来自公众号:奇安信 CERT   2020.10.14 11:48:51


近日,奇安信CERT监测到Windows TCP/IP 存在远程代码执行漏洞,攻击者可通过向受影响主机发送特制ICMPv6 路由广告包来利用此漏洞,成功利用此漏洞的攻击者可在目标服务器或客户端上执行任意代码。经过奇安信CERT研判,此漏洞危害巨大,攻击者有可能制作蠕虫病毒来实现远程代码执行。奇安信CERT强烈建议受影响用户及时更新补丁,做好相应防护。


奇安信 CERT


漏洞描述


CVE-2020-16898被称为“坏邻居”漏洞。Windows TCP/IP协议栈在处理ICMPv6 路由广告包时,存在此远程代码执行漏洞。由于使用选项类型25和偶数长度字段对ICMPv6路由器播发数据包的处理不当,导致存在此漏洞。


攻击者可通过向受影响主机发送特制ICMPv6 路由广告包来利用此漏洞,成功利用此漏洞的攻击者可在目标服务器或客户端上执行任意代码。


根据McAfee的博客文章,其为Microsoft Active Protections计划(MAPP)成员提供的PoC及其简单又非常稳定可靠,执行它会立刻出现BSOD(蓝屏死机)目前已经可以在国外视频网站看到此漏洞的验证视频。尽管PoC暂时不能实现远程代码执行,但攻击者可以制作蠕虫病毒来实现远程代码执行。


漏洞时间线:

  • 2020年10月14日,在微软补丁日当天,修复了一个紧急漏洞:Windows TCP/IP 远程代码执行漏洞(CVE-2020-16898),国外安全厂商发布了漏洞验证视频,可证明此漏洞会造成BSOD(蓝屏死机),并指出有可能被恶意攻击者利用来进行蠕虫攻击。

漏洞公开情况:

细节是否公开

PoC 状态

EXP 状态

在野利用

未知

未知

未知



风险等级


奇安信 CERT风险评级为: 高危

风险等级: 蓝色(一般事件)


影响范围


Windows 10 Version 1709 for 32-bit Systems

Windows 10 Version 1709 for ARM64-based Systems

Windows 10 Version 1709 for x64-based Systems

Windows 10 Version 1803 for 32-bit Systems

Windows 10 Version 1803 for ARM64-based Systems

Windows 10 Version 1803 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1903 for 32-bit Systems

Windows 10 Version 1903 for ARM64-based Systems

Windows 10 Version 1903 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 2004 for 32-bit Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for x64-based Systems

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 2004 (Server Core installation)



处置建议


使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。


也可以采用以下官方解决方案及缓解方案来防护此漏洞:

Windows自动更新

Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:

1、点击“开始菜单”或按Windows快捷键,点击进入“设置”

2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)

3、选择“检查更新”,等待系统将自动检查并下载可用更新

4、重启计算机,安装更新


系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。


手动安装补丁

另外,对于不能自动更新的系统版本(如Windows 7、Windows Server 2008、Windows Server 2008 R2),可参考以下链接下载适用于该系统的10月补丁并安装:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898


如果无法立即安装更新,可参考以下步骤缓解漏洞:

1.禁用ICMPv6 RDNSS:

您可以使用下面的PowerShell命令禁用ICMPv6 RDNSS,以防止攻击者利用此漏洞。此解决方案仅适用于Windows 1709及更高版本。有关更多信息,请参见Windows Server 1709的新增功能(https://docs.microsoft.com/en-us/windows-server/get-started/whats-new-in-windows-server-1709)。

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

注意:此变更无需重启系统

您可以使用下面的PowerShell命令恢复:

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable

注意:此变更无需重启系统



产品线解决方案

奇安信网神天堤防火墙产品防护方案

奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至“2010141000”及以上版本并启用规则ID: 1227101进行检测防御。


奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.1014.12434及以上版本。规则名称:Windows TCP/IP 远程代码执行漏洞(CVE-2020-16898),规则ID:0x5d84。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。


安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:51549,建议用户尽快升级检测规则库至2010141012以后版本并启用该检测规则。



参考资料

[1] https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898
[2] https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cve-2020-16898-bad-neighbor/


时间线

2020年10月14日,奇安信 CERT发布安全风险通告

奇安信 CERT

奇安信CERT致力

一时间 为企业级客户提供

安全风险通告和有效的解决方案