日前，在微软官方发布的安全更新中，修复了一个TCP/IP远程执行代码漏洞（CVE-2020-16898），该漏洞CVSS威胁评分为严重等级的9.0；攻击者通过构造并发送恶意的ICMPv6（路由通告）数据包，导致目标系统代码执行或拒绝服务。

目前已确认在本地网络可以稳定地导致目标系统蓝屏崩溃，构成批量系统拒绝服务风险。在此提醒校园网用户尽快安装补丁阻止漏洞攻击，做好资产自检和预防工作，以免遭受攻击。

一、漏洞情况分析

Windows TCP/IP堆栈在处理IMCPv6 Router Advertisement（路由通告）数据包时存在漏洞，远程攻击者通过构造特制的ICMPv6 Router Advertisement（路由通告）数据包，并将其发送到远程Windows主机上，即可在目标主机上执行任意代码。

二、漏洞影响范围

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version1903 (Server Core installation)

Windows Server, version1909 (Server Core installation)

Windows Server, version2004 (Server Core installation)。

Windows 10，version 1709,1803,1809,1903,1909,2004

三、解决方案

目前官方已在最新版本中修复了该漏洞，请受影响的用户尽快升级版本进行防护，官方下载链接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

临时防护措施

若相关用户暂时无法进行升级操作，也可以通过禁用ICMPv6 RDNSS来缓解风险。

使用以下PowerShell命令禁用ICMPv6 RDNSS，以防止攻击者利用此漏洞。此解决方法仅适用于Windows 1709及更高版本。

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

注意：进行更改后，无需重新启动。

参考链接：

https://help.aliyun.com/noticelist/articleid/1060720779.html

https://cert.360.cn/warning/detail?id=cd37c1ae12bd5a921b0261f55e50255b

信息化管理处

2020年10月14日