微软公司在10月的补丁包日修补了87个安全性漏洞,在其中一个是Windows IPv6 tcp协议中的安全性漏洞。漏洞CVE序号为cve-2020-16898,CVSS得分为9.0分。攻击者可以利用故意仿冒的包到远程控制系统软件上实行任何编码。
PoC代码比较简单,可以引起Windows系统电脑蓝屏,说明可以绕开Windows 10和Windows server2019 补丁包的攻击者就可以利用漏洞。由于漏洞利用完成远程控制执行命令的效用可以不断发展,因而漏洞的危害也特别大,该漏洞可以完成蠕虫般散播。科学研究工作人员将该漏洞取名为“Bad Neighbor”,由于该漏洞坐落于ICMPv6 的邻居家发觉协议书,应用的是Router Advertisement 种类。
关键技术
因为Windows TCP/IP 栈不合理解决应用Option Type 25 (Recursive DNS Server Option) 和length 域为双数的ICMPv6 Router Advertisement 包,会引起该漏洞。在该option 中,length 的记数是增长8字节数,因此length为3时,总的尺寸应该是24字节数。该option自身带有5个域:Type, Length, Reserved, Lifetime, Addresses of IPv6 Recursive DNS Servers。前4个域一共仅有8个字节数,而最后一个域带有IPv6 详细地址数量的自变量,每一个IPv6 详细地址为16字节数。依据RFC 8106,length 域是高于或等于3的单数:
当IPv6 服务器根据RA 信息接受DNS option时,会依照以下标准解决有关的option:
DNS option的实效性根据length 域来查验。RDNSS option 中的Length field的值高于或等于极小值3,并达到(Length - 1) % 2 == 0。
如果是一个双数的length 值,Windows TCP/IP 栈便会不正确地按8字节数提升互联网缓存文件。这是由于栈内部结构是以16字节数增长的,没法解决不符RFC 规范的length值。栈中不正确配对結果会将现阶段option 的最终8字节数做为第二个option 的逐渐,引起栈溢出和不确定性的远程控制执行命令。
为详细地完成该漏洞的利用链还必须Windows kernel中的内存泄露或数据泄露漏洞。
漏洞危害和补丁包
该漏洞较为大的直接影响是Windows 10客户,由于开启了IPv6的网络服务器还非常少。
现阶段,微软公司早已公布了补丁包,假如无法安装补丁包,那麼比较好的法子便是禁止使用IPv6。除此之外,还能够在互联网界限阻拦或丢掉ICMPv6 Router Advertisements。从PoC的情形看来,Windows Defender和Windows服务器防火墙没法阻拦PoC。现阶段还不清楚进攻在应用6to4 或 Teredo 那样的新技术的互联网中是不是可以取得成功。