多個影響TCP/IP的安全更新：CVE-2021-24074、CVE-2021-24094和CVE-2021-24086

今日微軟發布了一系列影響Windows TCP/IP實現的修復程序，包含兩個關鍵遠程代碼執行（RCE）漏洞（CVE-2021-24074、CVE-2021-24094）和一個重要拒絕服務（DoS）漏洞（CVE-2021-24086）。這兩個RCE漏洞較為複雜，難以創建功能性漏洞利用程序，因此短期內不太可能被利用。我們認為攻擊者能夠更快地創建DoS漏洞利用程序，並預計所有三個問題可能在發布後不久通過DoS攻擊被利用。因此，我們建議客戶盡快應用本月的Windows安全更新。

這些CVE的DoS漏洞利用程序允許遠程攻擊者導致停止錯誤。直接暴露於互聯網且網絡流量極少的任何Windows系統可能會出現藍屏。

客戶必須盡快應用Windows更新以解決這些漏洞。如果無法快速應用更新，CVE中詳細說明了不需要重啟服務器的工作區。這三個漏洞是獨特的，根據受影響系統的暴露情況需要單獨的工作區；然而，可以根據互聯網協議版本4（IPv4）和互聯網協議版本6（IPv6）解決方案來考慮。

IPv4工作區僅需要進一步加固以防止使用源路由，這在Windows默認狀態下是不允許的。此工作區在CVE-2021-24074中有記錄，可以通過組策略或運行不需要重啟的NETSH命令來應用。IPv6工作區在CVE-2021-24094和CVE-2021-24086中有記錄，需要阻止IPv6片段，這可能會對依賴IPv6的服務產生負面影響。

注意：IPv4源路由請求和IPv6片段可以在邊緣設備（如負載均衡器或防火牆）上阻止。此選項可用於緩解高風險暴露的系統，然後允許系統按照其標準節奏進行修補。

這些漏洞是微軟作為持續加強產品安全性的一部分發現的。目前，我們沒有證據表明這些漏洞被任何第三方知曉。這些漏洞是由於微軟TCP/IP實現中的缺陷導致的，影響所有Windows版本。非微軟實現不受影響。

由於這些漏洞相關的風險較高，受影響的系統必須盡快修補，相關下載可以在微軟安全更新指南中找到。啟用自動更新的客戶會自動受到保護。