【安全风险通告】漏洞细节已流出,微软NetLogon权限提升漏洞安全风险通告

  • A+
所属分类:安全漏洞
【安全风险通告】漏洞细节已流出,微软NetLogon权限提升漏洞安全风险通告

近日,奇安信CERT监测到国外安全厂商发布了NetLogon 权限提升漏洞(CVE-2020-1472)的详细技术分析文章和验证脚本。此漏洞是微软8月份发布安全公告披露的紧急漏洞,漏洞评分10分,漏洞利用后果严重,未经身份认证的攻击者可通过使用 Netlogon 远程协议(MS-NRPC)连接域控制器来利用此漏洞。成功利用此漏洞的攻击者可获得域管理员访问权限。由于相关细节已经流出,预计EXP可能很快出现。鉴于该漏洞影响较大,建议客户尽快安装软件更新。

【安全风险通告】漏洞细节已流出,微软NetLogon权限提升漏洞安全风险通告


奇安信 CERT


漏洞描述


Netlogon是在活动目录中比较重要的一个服务,此服务在DC和域成员服务器上运行,为域身份验证提供重要服务。


近日,奇安信CERT监测到国外安全厂商发布了NetLogon 权限提升漏洞(CVE-2020-1472)的详细技术分析文章和验证脚本。此漏洞是微软8月份发布安全公告披露的紧急漏洞,CVSS漏洞评分10分,漏洞利用后果严重,未经身份认证的攻击者可通过使用 Netlogon 远程协议(MS-NRPC)连接域控制器来利用此漏洞。成功利用此漏洞的攻击者可获得域管理员访问权限。由于相关细节已经流出,预计EXP可能很快出现。鉴于该漏洞影响较大,建议客户尽快安装软件更新。

【安全风险通告】漏洞细节已流出,微软NetLogon权限提升漏洞安全风险通告


风险等级


奇安信 CERT风险评级为:高危

风险等级:蓝色(一般事件)


影响范围


Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016  (Server Core installation)

Windows Server 2019

Windows Server 2019  (Server Core installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 2004 (Server Core installation)

【安全风险通告】漏洞细节已流出,微软NetLogon权限提升漏洞安全风险通告


处置建议


使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。


也可以采用以下官方解决方案及缓解方案来防护此漏洞:

Windows自动更新

Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:

1、点击“开始菜单”或按Windows快捷键,点击进入“设置”

2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)

3、选择“检查更新”,等待系统将自动检查并下载可用更新

4、重启计算机,安装更新


系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。


手动安装补丁

另外,对于不能自动更新的系统版本(如Windows 7、Windows Server 2008、Windows Server 2008 R2),可参考以下链接下载适用于该系统的8月补丁并安装:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

DC上开启强制模式

详细配置参考微软官方文档

《如何管理与 CVE-2020-1472 相关联的 Netlogon 安全频道连接中的更改》

https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

【安全风险通告】漏洞细节已流出,微软NetLogon权限提升漏洞安全风险通告


参考资料

[1] https://www.secura.com/pathtoimg.php?id=2055
【安全风险通告】漏洞细节已流出,微软NetLogon权限提升漏洞安全风险通告


时间线

2020年9月15日,奇安信 CERT发布安全风险通告

奇安信 CERT

 

奇安信CERT致力

一时间为企业级客户提供

安全风险通告和有效的解决方案  

                   

【安全风险通告】漏洞细节已流出,微软NetLogon权限提升漏洞安全风险通告


发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: