2020年8月11日,Microsoft公司发布安全公告,公布了Netlogon 特权提升漏洞(CVE-2020-1472)的相关信息。深信服安全研究团队依据漏洞重要性和影响力进行评估,作出漏洞通告。
| 漏洞名称 |
Netlogon 特权提升漏洞(CVE-2020-1472) |
|
威胁等级 |
高危 |
|
影响范围 |
Windows Server 2008 R2 Service Pack 1 Windows Server 2012, 2012 R2, 2016, 2019 Windows Server, version 1903, 1909, 2004 |
|
漏洞类型 |
特权提升 |
|
利用难度 |
困难 |
2.1 NetLogon 介绍
NetLogon 远程协议是一种在 Windows 域控上使用的 RPC 接口,被用于各种与用户和机器认证相关的任务。最常用于让用户使用 NTLM 协议登录服务器,也用于 NTP 响应认证以及更新计算机域密码。
微软MSRC于8月11日 发布了Netlogon 特权提升漏洞安全通告。此漏洞CVE编号CVE-2020-1472, CVSS 评分:10.0。
2.2 漏洞描述
攻击者使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接的 Netlogon 安全通道时,存在特权提升漏洞。当成功利用此漏洞时,攻击者无需通过身份验证,即可在网络中的设备上运行经特殊设计的应用程序,获取域控制器的管理员权限。
【影响版本】
Windows Server, version 2004 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
4.1 修复方案
1. 进行 Windows 版本更新并且保持 Windows 自动更新开启,也可以通过下载下面链接中的软件包,手动进行升级
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472
2. 开启的 DC 的强制模式,具体可参考下面的链接进行操作
2020/8/11 Microsoft公司发布安全公告
2020/9/15 深信服千里目安全实验室发布漏洞预警文章
1. https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472
2. https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
3. https://www.secura.com/pathtoimg.php?id=2055
4. https://github.com/SecuraBV/CVE-2020-1472/
本文作者:深信服千里目安全实验室
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/140955.html
如有侵权请联系:admin#unsafe.sh