Netlogon 特权提升漏洞
(CVE-2020-1472)
NetLogon 远程协议是一种在 Windows 域控上使用的 RPC 接口,被用于各种与用户和机器认证相关的任务。最常用于让用户使用 NTLM 协议登录服务器,也用于 NTP 响应认证以及更新计算机域密码。
微软MSRC于8月11日 发布了Netlogon 特权提升漏洞安全通告。此漏洞CVE编号CVE-2020-1472, CVSS 评分:10.0。由 Secura 公司的 Tom Tervoort 发现提交并命名为 ZeroLogon。
在9月11日,漏洞发现者在 GitHub 上公开了漏洞测试工具并且放出了漏洞白皮书。
漏洞描述
攻击者使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接的 Netlogon 安全通道时,存在特权提升漏洞。当成功利用此漏洞时,攻击者可无需通过身份验证,在网络中的设备上运行经特殊设计的应用程序,获取域控制器的管理员权限。
影响范围
-
Windows Server, version 2004 (Server Core installation)
-
Windows Server 2008 R2 for x64-based Systems Service Pack 1
-
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
-
Windows Server 2012
-
Windows Server 2012 (Server Core installation)
-
Windows Server 2012 R2
-
Windows Server 2012 R2 (Server Core installation)
-
Windows Server 2016
-
Windows Server 2016 (Server Core installation)
-
Windows Server 2019
-
Windows Server 2019 (Server Core installation)
-
Windows Server, version 1903 (Server Core installation)
-
Windows Server, version 1909 (Server Core installation)
解决方案
-
进行 Windows 版本更新并且保持 Windows 自动更新开启,也可以通过下载下面链接中的软件包,手动进行升级
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472
-
开启的 DC 的强制模式,具体可参考下面的链接进行操作
https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
参考资料
-
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472
-
https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
-
https://www.secura.com/pathtoimg.php?id=2055
-
https://github.com/SecuraBV/CVE-2020-1472/
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论