各校园网用户：

  2021年2月经我中心整理和验证的Windows TCP/IP高危漏洞风险提示如下：

  1、漏洞公告

  2021年2月9日，微软官方发布了2月安全更新公告，包含了微软家族多个软件的安全更新补丁，其中Windows TCP/IP协议缓冲区溢出漏洞，可能导致远程代码执行或拒绝服务攻击风险，影响较大，漏洞对应CVE编号：CVE-2021-24074、CVE-2021-24094、CVE-2021-24086，相关链接参考：

https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2021-24074 https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2021-24094 https://msrc.microsoft.com/update-guide/zh-cn/vulnerability/CVE-2021-24086

  根据公告，漏洞由微软TCP/IP协议（包括IPv4和IPv6）实现缺陷导致，影响所有Windows版本，但非微软家族产品不受影响，恶意攻击者成功利用漏洞可能实现远程代码执行或拒绝服务（蓝屏）效果，建议尽快安装安全更新补丁或采取临时缓解措施加固系统。

  2、影响范围

  Windows TCP/IP远程执行代码和拒绝服务漏洞，影响和微软已经提供补丁的的系统列表如下：

  Windows Server, version 20H2 (Server Core Installation)
  Windows 10 Version 20H2 for ARM64-based Systems
  Windows 10 Version 20H2 for 32-bit Systems
  Windows 10 Version 20H2 for x64-based Systems
  Windows Server, version 2004 (Server Core installation)
  Windows 10 Version 2004 for x64-based Systems
  Windows 10 Version 2004 for ARM64-based Systems
  Windows 10 Version 2004 for 32-bit Systems
  Windows Server, version 1909 (Server Core installation)
  Windows 10 Version 1909 for ARM64-based Systems
  Windows 10 Version 1909 for x64-based Systems
  Windows 10 Version 1909 for 32-bit Systems
  Windows Server 2012 R2 (Server Core installation)
  Windows Server 2012 R2
  Windows Server 2012 (Server Core installation)
  Windows Server 2012
  Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  Windows Server 2008 R2 for x64-based Systems Service Pack 1
  Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  Windows Server 2008 for x64-based Systems Service Pack 2
  Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  Windows Server 2008 for 32-bit Systems Service Pack 2
  Windows RT 8.1
  Windows 8.1 for x64-based systems
  Windows 8.1 for 32-bit systems
  Windows 7 for x64-based Systems Service Pack 1
  Windows 7 for 32-bit Systems Service Pack 1
  Windows Server 2016  (Server Core installation)
  Windows Server 2016
  Windows 10 Version 1607 for x64-based Systems
  Windows 10 Version 1607 for 32-bit Systems
  Windows 10 for x64-based Systems
  Windows 10 for 32-bit Systems
  Windows Server 2019  (Server Core installation)
  Windows Server 2019
  Windows 10 Version 1809 for ARM64-based Systems
  Windows 10 Version 1809 for x64-based Systems
  Windows 10 Version 1809 for 32-bit Systems
  Windows 10 Version 1803 for ARM64-based Systems
  Windows 10 Version 1803 for x64-based Systems
  Windows 10 Version 1803 for 32-bit Systems

  3、漏洞描述

  根据分析，CVE-2021-24074漏洞，漏洞存在于TCP/IP协议的IPv4源路由请求实现中，恶意攻击者可以通过该漏洞对未打补丁的目标系统进行攻击，实现远程代码执行效果；CVE-2021-24094、CVE-2021-24086漏洞，漏洞存在于TCP/IP协议的IPv6 UDP数据包重组实现中，恶意攻击者可以通过该漏洞对未打补丁的目标系统进行攻击，实现远程代码执行或拒绝服务（蓝屏）效果；由于TCP/IP协议是Windows系统基础协议，漏洞威胁风险较大，建议尽快安装安全更新补丁或采取临时缓解措施加固系统。

  MSRC针对该漏洞的公告说明参考：

https://msrc-blog.microsoft.com/2021/02/09/multiple-security-updates-affecting-tcp-ip/

  2月安全公告列表，包含的其他漏洞（非全部）快速阅读指引：

https://msrc.microsoft.com/update-guide/releaseNote/2021-Feb

  CVE-2021-1722|Windows 传真服务远程代码执行漏洞
  CVE-2021-1726|Microsoft SharePoint 欺骗漏洞
  CVE-2021-1728|System Center Operations Manager 特权提升漏洞
  CVE-2021-1730|Microsoft Exchange Server 欺骗漏洞
  CVE-2021-1731|PFX 加密安全功能绕过漏洞
  CVE-2021-1733|Sysinternals PsExec 特权提升漏洞
  CVE-2021-1734|Windows 远程过程调用信息泄露漏洞
  CVE-2021-24066|Microsoft SharePoint 远程执行代码漏洞
  CVE-2021-24067|Microsoft Excel 远程执行代码漏洞
  CVE-2021-24068|Microsoft Excel 远程执行代码漏洞
  CVE-2021-24069|Microsoft Excel 远程执行代码漏洞
  CVE-2021-24070|Microsoft Excel 远程执行代码漏洞
  CVE-2021-24071|Microsoft SharePoint 信息泄露漏洞
  CVE-2021-24076|Microsoft Windows VMSwitch 信息泄露漏洞
  CVE-2021-24077|Windows 传真服务远程代码执行漏洞
  CVE-2021-24078|Windows DNS 服务器远程执行代码漏洞
  CVE-2021-24079|Windows 备份引擎信息泄露漏洞
  CVE-2021-24084|Windows Mobile Device Management 信息泄露漏洞
  CVE-2021-24085|Microsoft Exchange Server 欺骗漏洞
  CVE-2021-24087|Azure IoT CLI 扩展特权提升漏洞
  CVE-2021-24092|Microsoft Defender 权限提升漏洞
  CVE-2021-24093|Windows 图形组件远程执行代码漏洞
  CVE-2021-24098|Windows 控制台驱动程序拒绝服务漏洞
  CVE-2021-24100|Microsoft Edge for Android 信息泄露漏洞
  CVE-2021-24101|Microsoft Dataverse 信息泄露漏洞
  CVE-2021-24105|程序包管理器配置远程执行代码漏洞
  CVE-2021-24106|Windows DirectX 信息泄露漏洞
  CVE-2021-24109|Microsoft Azure Kubernetes Service 特权提升漏洞
  CVE-2021-24112|.NET Core 远程执行代码漏洞
  CVE-2021-24114|Microsoft Teams iOS 信息泄露漏洞
  CVE-2021-25195|Windows PKU2U 特权提升漏洞
  CVE-2021-26700|Visual Studio Code npm-script Extension 远程代码执行漏洞
  CVE-2021-26701|.NET Core 远程执行代码漏洞

  4、缓解措施

  目前漏洞细节暂未公开，但可以通过补丁对比方式分析出漏洞触发点，并进一步开发漏洞利用代码，建议及时测试安全更新补丁并应用安装，或采取临时缓解措施加固系统。

  临时缓解措施（不方便打补丁的情况下考虑的有限措施）：

  针对CVE-2021-24074漏洞，设置源路由行为（netsh命令参考）：

netsh int ipv4 set global sourceroutingbehavior=drop

  如需还原为默认设置（netsh命令参考）：Dontforward

netsh int ipv4 set global sourceroutingbehavior=dontforward

  或通过安全设备禁止源路由请求；

  针对CVE-2021-24094、CVE-2021-24086漏洞，禁用数据包重组（netsh命令参考）：

Netsh int ipv6 set global reassemblylimit=0

  如需还原为默认设置（netsh命令参考）：267748640

Netsh int ipv6 set global reassemblylimit=267748640

  或通过安全设备禁止Ipv6 UDP分段。

                                                 网络信息技术中心

                                                  2021年2月28日