簡介：

微軟發現 3 個 Windows TCP/IP 漏洞。包含 2 個RCE 漏洞，CVSS 3.0 版風險等級 9.8：CVE-2021-24074 和 CVE-2021-24094，及 1 個 Dos 漏洞CVE-2021- 24086，CVSS 3.0版風險等級7.5。受影響的系統涵括 Windows 7 以上的所有用戶端及伺服 器版本。而非微軟實作則不受影響。

三個漏洞皆為微軟內部團隊發現，並未公開，也未有遭開採 的跡象。但微軟相信攻擊者很快可以製作出 DoS 漏洞開採程 式，故呼籲用戶盡快進行安全更新。

對於無法及時完成更新的用戶，微軟也提供緩解作法。三個漏洞各不相同，不同系統風險有不同的緩解作法，但大致可分為 IPv4 及 IPv6 兩種方案。

針對CVE-2021-24074，微軟建議關閉來源路由來防禦，Windows 預設就已是關閉。這可由群組政策或跑 NETSH 指令完成。但微軟也警告，這項設定會導致系統完全拒絕處理呼叫。針對 CVE-2021-24094 及 CVE-2021-24086，微軟建議關閉封包重組以封鎖 IPv6 封包碎片，但這也可能影響仰賴IPv6的服務。

對於邊緣裝置，像是負載平衡或防火牆，微軟指出緩解作法可封鎖來源路由呼叫及 IPv6 封包碎片，在系統上修補程式前防禦曝露於高風險中。

參考資料：
https://www.ithome.com.tw/news/142717