金山云安全应急响应中心监测到10月13日微软官方发布10月份安全更新，其中修复了一个Windows TCP/IP远程代码执行漏洞CVE-2020-16898，成功利用该漏洞可远程在目标服务器或客户端上执行恶意代码。

该漏洞官方评级为严重，官方已发布修复该漏洞的安全补丁。请广大用户高度关注并尽快安装补丁进行防护。

漏洞描述

Windows TCP/IP堆栈不当地处理ICMPv6 Router Advertisement（路由通告）数据包时，存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。

要利用此漏洞，攻击者必须将特制的ICMPv6（路由通告）数据包发送到远程Windows计算机（远程攻击者无须接触目标计算机也勿须相应权限，向目标计算机发送攻击数据包即可能实现RCE，目前尚无EXP公开)。

此更新通过更正Windows TCP/IP堆栈处理ICMPv6（路由通告）数据包的方式来解决此漏洞。

风险等级

严重

影响版本

Windows 10、Windows Server的多个版本均受影响

修复建议

1. 微软已发布安全更新，请尽快使用Windows安全更新升级安装。

2. 也可手动下载安装：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

3. 若不方便进行安全更新，也可采取以下暂缓措施：

l 禁用ICMPv6 RDNSS

您可以使用以下 PowerShell 命令禁用 ICMPv6 RDNSS，以阻止攻击者利用漏洞。

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

（说明：此解决方法仅适用于 Windows 1709 及更高版本）

参考链接

[1]https://www.mcafee.com/blogs/other-blogs/mcafee-labs/cve-2020-16898-bad-neighbor/

[2]https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-16898

[3]https://github.com/advanced-threat-research/CVE-2020-16898

北京金山云网络技术有限公司

2020/10/14