微软昨(9)日发出安全公告,呼吁用户尽快安装影响所有Windows版本的3个Windows TCP/IP漏洞的安全更新。
这三个漏洞影响Windows TCP/IP实例,包含2个重大风险远程程序代码执行(Critical Remote Code Execution,RCE)漏洞,CVSS 3.0版风险等级9.8:CVE-2021- 24074和CVE-2021-24094,以及1个重要风险的拒绝服务(Denial of Service,DoS)漏洞CVE-2021-24086,CVSS 3.0版风险等级7.5。
受影响的系统涵盖Windows 7以上的所有用户端及服务器版本。而非微软实例则不受影响。
微软指出,三个漏洞皆为内部团队发现,并未公开,目前为止也未发现有遭到开采的迹象。其中二个RCE漏洞较为复杂,要发动开采也较困难,短时间内不会发生。但微软相信攻击者可以更快制作出DoS漏洞开采程序,而一旦开采程序发布,三个漏洞都可能会被开采。
微软建议用户及管理员尽快安装安全更新,但针对无法及时上更新的用户,微软也提供缓解做法。三个漏洞各不相同,需要针对不同系统风险提供不同缓解做法,不过大致可分成IPv4及IPv6两种方案。
针对CVE-2021-24074,微软建议关闭来源路由(Source Routing)来防御,Windows默认就已是关闭。这可由群组政策或跑NETSH指令完成。但微软也警告,这项设置会导致系统完全拒绝处理调用。针对CVE-2021-24094及CVE-2021-24086,微软建议关闭封包重组(packet reassembly)以封锁IPv6封包碎片,但这也可能影响依赖IPv6的服务。
对于边缘设备,像是负载均衡或防火墙,微软指出缓解做法可封锁来源路由调用及IPv6封包碎片,在系统上修补程序前防御暴露于高风险中。