16898这个数字背后隐藏了哪些秘密？

16898的漏洞简介

CVE-2020-16898，又称“Bad Neighbor”，在Windows TCP/IP堆栈不正确地处理ICMPv6 Router Advertisement数据包时，存在一个远程执行代码漏洞，成功利用此漏洞的攻击者可以获得在目标服务器或客户端上执行代码的能力，要利用此漏洞，攻击者必须将经过特殊设计的ICMPv6 Router Advertisement数据包发送到远程Windows计算机上。

漏洞描述

远程攻击者通过构造特制的ICMPv6 Router Advertisement（路由通告）数据包，并将其发送到远程Windows主机上，即可在目标主机上执行任意代码，攻击者可以利用该漏洞发送恶意制作的数据包，从而有可能在远程系统上执行任意代码，与MAPP（Microsoft Active Protection计划）成员共享的概念证明既非常简单又非常可靠，它会导致立即出现BSOD（蓝屏死机），但更严重的是，对于那些能够绕过Windows 10和Windows Server 2019缓解措施的人来说，存在被利用的可能性，可以使远程代码执行的漏洞利用的影响将是广泛的，并且影响很大，因为这种类型的错误可能会变成可感染的。

漏洞信息

漏洞利用示例

在安装好python后，打开cmd，输入python,没有报错，说明成功：然后安装scapy：直接使用pip安装：pip install scapy，scapy启动界面如下图：5.这段payload作用是构造特定ipv6数据包，发送给受害者机器，让受害机器蓝屏，from scapy.layers.inet6 import ICMPv6NDOptEFA, ICMPv6NDOptRDNSS, ICMPv6ND_RA, IPv6, IPv6ExtHdrFragment, fragment6 v6_dst = "xxx xxxx xxxx xxxx" #目标靶机IPv6 地址 v6_src = "xxx xxxx xxxx xxxx" #攻击机本地链接 IPv6 地址 p_test_half = ‘A’.encode()*8 + b"x18x30" + b"xFFx18" c = ICMPv6NDOptEFA() e = ICMPv6NDOptRDNSS()

FAQs

1、什么是CVE-2020-16898？

CVE-2020-16898是一个在Windows TCP/IP堆栈中存在的远程执行代码漏洞，也被称为“Bad Neighbor”，这个漏洞允许攻击者通过发送特制的ICMPv6 Router Advertisement数据包到远程Windows计算机，从而在目标服务器或客户端上执行任意代码。

2、如何防止CVE-2020-16898漏洞被利用？

防止CVE-2020-16898漏洞被利用的主要方法是及时更新官方补丁，还可以通过禁用ICMPv6 RDNSS来缓解风险，具体操作可以通过PowerShell命令实现，netsh int ipv6 set int *INTERFACENUMBER* rabaseddnsconfig=disable，需要注意的是，这种方法仅适用于Windows 1709及更高版本。

小编有话说

CVE-2020-16898是一个严重的安全漏洞，它允许攻击者通过发送特制的ICMPv6 Router Advertisement数据包到远程Windows计算机，从而在目标服务器或客户端上执行任意代码，为了防止这个漏洞被利用，建议用户及时更新官方补丁，或者通过禁用ICMPv6 RDNSS来缓解风险，也需要提高网络安全意识，避免点击不明链接或下载不明文件，以防止被攻击者利用。