- CNNVD編號:未知
- 危害等級: 高危
- CVE編號:未知
- 漏洞類型: 遠程代碼執(zhí)行
- 威脅類型:遠程
- 廠 商:未知
- 漏洞來源:深信服
- 發(fā)布時間:2021-02-19
- 更新時間:2021-02-19
漏洞簡介
1、組件介紹
Windows TCP/IP是由微軟公司實現(xiàn)的TCP/IP協(xié)議族,TCP/IP提供了點對點鏈接的機制,將數(shù)據(jù)應(yīng)該如何封裝、尋址、傳輸、路由以及在目的地如何接收,都加以標(biāo)準(zhǔn)化。它將軟件通信過程抽象化為四個抽象層,采取協(xié)議堆棧的方式,分別實現(xiàn)出不同通信協(xié)議。協(xié)議族下的各種協(xié)議,依其功能不同,分別歸屬到這四個層次結(jié)構(gòu)之中,常視為是簡化的七層OSI模型。
2、漏洞描述
2021年2月10日,深信服安全團隊監(jiān)測到微軟官方發(fā)布了一則漏洞安全通告,通告披露了Windows TCP/IP組件存在遠程命令執(zhí)行漏洞,漏洞編號:CVE-2021-24074、CVE-2021-24094;拒絕服務(wù)漏洞,漏洞編號:CVE-2021-24086。該漏洞在處理IP包分片的時候未能正確重組,攻擊者可利用該漏洞在未授權(quán)的情況下,構(gòu)造惡意數(shù)據(jù)執(zhí)行遠程代碼執(zhí)行或拒絕服務(wù)攻擊攻擊,最終造成獲取終端最高權(quán)限或使終端無法正常工作。
漏洞公示
參考網(wǎng)站
受影響實體
目前受影響的Windows版本:
Windows 7 SP1
Windows 8.1
Windows RT 8.1
Windows 10
Windows 10 Version 1607, 1803,1809, 1909, 2004,20H2
Windows Server 2008 SP2
Windows Server 2008 R2 SP1
Windows Server 2012, 2012 R2, 2016, 2019
Windows Server version 1909, 2004,20h2
補丁
解決方案一:
當(dāng)前官方已發(fā)布受影響版本的對應(yīng)補丁(當(dāng)前官方已發(fā)布最新版本),建議受影響的用戶及時更新官方的安全補丁(及時更新升級到最新版本)。鏈接如下:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24074
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24086
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24094
解決方案二:
對于暫時不能更新的終端有以下兩種解決方案:
修改注冊表
命令行修改(推薦)
將sourceroutingbehavior設(shè)置為”drop”
netsh int ipv4 set global sourceroutingbehavior=drop
將global reassemblylimit 設(shè)置為0
netsh int ipv6 set global reassemblylimit=0
使用該解決方案的效果:
IPv4源路由在Windows中被認(rèn)為是不安全的且默認(rèn)被阻止;然而系統(tǒng)會處理請求并回復(fù)一個ICMP包來拒絕請求,該解決方案會使系統(tǒng)不進行任何處理直接丟棄請求。
命令關(guān)閉了IPv6的包重組。任何不按照序列的包都會被丟棄。正常情境下不會超過50個不按照序列的包。
撤銷該解決方案的方法:
恢復(fù)默認(rèn)設(shè)定”dontforward”
netsh int ipv4 set global sourceroutingbehavior=dontforward
恢復(fù)默認(rèn)設(shè)定”267748640”
netsh int ipv6 set global reassemblylimit=267748640
手動修改
設(shè)置防火墻或負(fù)載均衡器來禁止源路由請求
在注冊表更改鍵值
路徑:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
值名:
DisableIPSourceRouting
值類型:
REG_DWORD
值:
2
設(shè)置防。