Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement(路由通告)数据包时，存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力。

要利用此漏洞，攻击者必须将特制的ICMPv6(路由通告)数据包发送到远程Windows计算机。

此更新通过更正Windows TCP/IP堆栈处理ICMPv6(路由通告)数据包的方式来解决此漏洞。

漏洞详情：

微软于2020年10月14日发布当月常规安全更新，本次更新修复的Windows TCP/IP远程执行代码漏洞（CVE-2020-16898）引起行业高度关注。由于Windows对ICMPv6 Router Advertisement(路由通告)数据包的检查不充分，匿名攻击者可以通过发送特殊的ICMPv6 Router Advertisement数据包来利用此漏洞，在启用了IPv6的计算机中，仅通过发送特殊的IP数据包就可能造成远程任意代码执行。

漏洞影响版本：

Windows 10 多个版本，Windows Server 2019、2004等多个服务器版本

漏洞等级：高危，CVSS评分9.8

漏洞修复：

微软已发布安全补丁，腾讯安全专家推荐受影响的用户尽快使用Windows 安全更新升级安装。腾讯电脑管家、腾讯T-Sec终端安全管理系统（御点）将同步升级漏洞库，以方便用户安装补丁。

用户也可手动下载安装，参考链接：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

腾讯安全解决方案:

腾讯T-Sec高级威胁检测系统（腾讯御界）已支持对黑客利用CVE-2020-16898漏洞的攻击行为进行检测。腾讯T-Sec高级威胁检测系统，是基于腾讯安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统，该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。

漏洞变通解决办法：

可以禁用ICMPv6 RDNSS来缓解风险。

可以使用以下PowerShell命令禁用ICMPv6 RDNSS，以防止攻击者利用此漏洞。此解决方法仅适用于Windows 1709及更高版本。

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable

注意： 进行更改后，无需重新启动。

可以使用以下PowerShell命令禁用上述解决方法。

netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=enable

注意： 禁用替代方法后，无需重新启动。

参考链接：

1.https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16898

2.2020年10月微软安全更新指南：

https://portal.msrc.microsoft.com/zh-cn/security-guidance/releasenotedetail/2020-Oct

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！