2月10日,微软官方发布了一则漏洞安全通告,通告披露了Windows TCP/IP组件存在远程命令执行漏洞,漏洞编号:CVE-2021-24074, CVE-2021-24094;以及拒绝服务漏洞,漏洞编号:CVE-2021-24086。由于在处理IP包分片的时候未能正确重组,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行“远程代码执行”或“拒绝服务攻击”攻击,最终造成获取终端最高权限或使终端无法正常工作。
漏洞名称:Windows TCP/IP 远程命令执行漏洞;
Windows TCP/IP 拒绝服务漏洞;
相应组件:Tcpip.sys
威胁等级:高危
影响范围:Windows 7 SP1
Windows 8.1
Windows RT 8.1
Windows 10
Windows 10 Version 1607, 1803,1809, 1909, 2004,20H2
Windows Server 2008 SP2
Windows Server 2008 R2 SP1
Windows Server 2012, 2012 R2, 2016, 2019
Windows Server version 1909, 2004,20h2
利用条件:不需要用户认证;远程触发
漏洞分析
组件介绍
Windows TCP/IP是由微软公司实现的TCP/IP协议族,TCP/IP提供了点对点链接的机制,将数据应该如何封装、寻址、传输、路由以及在目的地如何接收,都加以标准化。它将软件通信过程抽象化为四个抽象层,采取协议堆栈的方式,分别实现出不同通信协议。协议族下的各种协议,依其功能不同,分别归属到这四个层次结构之中,常视为是简化的七层OSI模型。
漏洞描述
Windows TCP/IP远程命令执行漏洞CVE-2021-24074, CVE-2021-24094,在处理IP包分片的时候未能正确重组,攻击者可利用漏洞在未授权的情况下,构造恶意数据执行远程代码执行攻击,最终造成获取终端最高权限。
Windows TCP/IP拒绝服务漏洞CVE-2021-24086,在处理IP包分片的时候未能正确重组产生了零指针解引用,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行拒绝服务攻击,最终造成终端无法正常工作。
解决方案
检测组件系统版本
通过命令行执行“winver”命令即可确认当前Windows的版本是否受影响。
官方修复建议(补丁、版本更新)
1、当前官方已发布受影响版本的对应补丁(当前官方已发布最新版本),建议受影响的用户及时更新官方的安全补丁(及时更新升级到最新版本)。
链接如下:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24074
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24086
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24094
2、对于暂时不能更新的终端可使用以下解决方案:
(1)命令行修改注册表方式(推荐使用该方式进行修改)
IPv4下将sourceroutingbehavior设置为“drop”:
netsh int ipv4 set global sourceroutingbehavior=drop
IPv6下将global reassemblylimit 设置为0:
netsh int ipv6 set global reassemblylimit=0
使用该解决方案的效果:
IPv4源路由在Windows中被认为是不安全的且默认被阻止;然而系统会处理请求并回复一个ICMP包来拒绝请求,该解决方案会使系统不进行任何处理直接丢弃请求。
IPv6下的命令则关闭了IPv6的包重组,任何不按照序列的包都会被丢弃。正常情境下不会超过50个不按照序列的包。
撤销该解决方案的方法:
恢复默认设定“dontforward”:
netsh int ipv4 set global sourceroutingbehavior=dontforward
恢复默认设定“267748640”:
netsh int ipv6 set global reassemblylimit=267748640
(2)手动修改注册表方式
在注册表更改键值
路径:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\
值名:
DisableIPSourceRouting
值类型:
REG_DWORD
值:
2