警惕！Windows NetLogon远程特权提升漏洞 (CVE-2020-1472) 利用代码公布

2020年9月15日11:57:04评论306 views字数 1792阅读5分58秒阅读模式

文档信息

通告概要

2020年8月11日，在微软每月的例行补丁日当天，修复了一个Windows 严重的NetLogon特权提升漏洞。通过Netlogon 远程协议（MS-NRPC）建立与域控制器连接安全通道时存在漏洞，远程（本地网络）攻击者可以利用此漏洞无需身份验证获取域控制器的管理员权限。

2020年9月近期国外安全厂商将该漏洞（CVE-2020-1472）的验证脚本公开上传到Github，相关的技术细节也已经被公布，构成非常严重的现实威胁。奇安信威胁情报中心红雨滴团队第一时间跟进了该漏洞，鉴于该漏洞CVSS 10分的评级，漏洞导致的威胁非常严重，强烈建议相关企业用户安装对应补丁。

漏洞名称	Microsoft NetLogon特权提升漏洞（CVE-2020-1472）
威胁类型	特权提升	威胁等级	严重	漏洞ID	CVE-2020-1472
利用场景	通过Netlogon 远程协议（MS-NRPC）建立与域控制器连接安全通道时，存在特权提升漏洞，远程（本地网络）攻击者利用此漏洞无需身份验证获取域控制器的管理员权限。
受影响系统及应用版本
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

通过Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接安全通道时存在的特权提升漏洞，成功利用此漏洞无需身份验证即可获取域控制器的管理员权限。

该漏洞影响几乎全版本的Windows Server，相关技术细节已经被公布，奇安信强烈建议受影响用户及时更新补丁，做好相应防护。

针对该漏洞，微软已发布相关补丁更新，见如下链接:

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

相关企业用户建议在安装了相关补丁之后，参考微软官方文档通过强制安全RPC措施进行进一步的防护，具体见微软提供的参考文档

https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

https://github.com/SecuraBV/CVE-2020-1472

文章来源：奇安信威胁情报中心

警惕！Windows NetLogon远程特权提升漏洞 (CVE-2020-1472) 利用代码公布

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。