TCP/IP に影響を与える脆弱性情報に関する注意喚起

2021年2月9日（日本时间），微软发布了针对影响TCP/IP实现的安全漏洞的修复。这些漏洞包括两个紧急级别的远程代码执行（RCE）漏洞（CVE-2021-24074、CVE-2021-24094）和一个重要级别的拒绝服务（DoS）漏洞（CVE-2021-24086）。由于创建实际可行的攻击代码相对困难，尽管这些漏洞被利用的可能性较高，但短期内出现攻击代码的可能性较低。然而，攻击者可能在较短时间内创建导致拒绝服务的攻击代码，预计在安全更新发布后短期内会出现利用这些漏洞的拒绝服务攻击。因此，建议尽快应用2021年2月发布的Windows安全更新。

远程攻击者可能通过利用这些漏洞进行拒绝服务攻击，导致STOP错误。这可能导致直接连接到互联网的Windows系统在最小网络流量下出现蓝屏。

尽快应用包含这些漏洞修复的安全更新至关重要。如果无法立即应用安全更新，可以在各漏洞信息页面上查看不需要服务器重启的缓解措施详情。这三个漏洞具有特殊性质，根据受影响系统的配置情况需要不同的缓解措施。不过，可以考虑作为IPv4和IPv6的缓解措施。

IPv4的缓解措施是加强Windows默认不允许的源路由使用的安全性。该缓解措施在漏洞信息CVE-2021-24074中有描述，可以通过组策略应用或执行不需要服务器重启的NETSH命令来应用。IPv6的缓解措施在漏洞信息CVE-2021-24094和CVE-2021-24086中有描述，需要阻止IPv6分片。此更改可能影响使用IPv6的服务。

注意：IPv4源路由请求或IPv6分片可以在负载均衡器或防火墙等边缘设备上阻止。此方法可以减轻高风险环境中系统的影响，并允许按照正常管理计划应用安全更新。

这些漏洞是微软内部产品安全改进调查的一部分发现的。目前没有事实表明这些漏洞的详细信息被微软以外的第三方知晓。此外，这些漏洞是由于微软的TCP/IP实现引起的问题，所有版本的Windows都受到影响。非微软的实现不受影响。

考虑到这些漏洞的风险评估，尽快在受影响的系统上应用安全更新至关重要。安全更新的获取可以在安全更新指南上查看。启用自动更新（默认启用）的客户将自动安装安全更新，并自动受到这些漏洞的保护。

TCP/IP相关漏洞信息列表

• Windows TCP/IP远程代码执行漏洞 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24074
• Windows TCP/IP远程代码执行漏洞 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24094
• Windows TCP/IP拒绝服务漏洞 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-24086