[更新支持产品情况][漏洞通告]CVE-2020-1472/Netlogon 特权提升漏洞

漏洞描述

近日亚信安全网络攻防实验室监测到境外有发布Microsoft NetLogon特权提升漏洞（CVE-2020-1472）相关poc代码,该漏洞是微软在2020年8月11日发布的安全更新通告中,修复的一个CVSS 10分的Windows NetLogon特权提升漏洞.通过Netlogon 远程协议（MS-NRPC）建立与域控制器连接安全通道时存在漏洞,远程（本地网络）攻击者可以利用此漏洞无需身份验证获取域控制器的管理员权限,由于该漏洞威胁十分严重,亚信安全网络攻防实验室在第一时间对该漏洞进行跟踪分析.

漏洞编号

CVE-2020-1472

漏洞威胁等级

高危

影响范围

Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

漏洞验证

使用公开的payload进行验证

简单分析

通过Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接安全通道时存在的特权提升漏洞,成功利用此漏洞无需身份验证即可获取域控制器的管理员权限.

修复建议

安装相应补丁包,补丁包下载:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

产品支持情况

亚信安全产品TDA6.0/DS10.0.0已全面支持

TDA6.0如何开启检测:

1. 开启TDAP功能

2. 配置更新源

3. 执行更新

4. 确保入侵检测特征码的版本是1.0.0.20

Deep Security如何防护：

1. 更新DPI规则库到20-046版本，该版本包含如下规则：

1010519 - Microsoft Windows Netlogon Elevation Of Privilege Vulnerability (CVE-2020-1472)

2. 搜索“1010519” 或“CVE-2020-1472”漏洞对应的规则，并且分配给需要保护的主机进行检测：

3. 防护修改规则：取消仅检测，进行阻止：

时间轴

[0] 2020/09/15 亚信安全网络攻防实验室分析&复现该漏洞并发布漏洞通告

[1] 2020/09/16 亚信安全产品——TDA6.0/DS10.0.0以上已全面支持并出具相应规则ID

Reference

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472
https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
https://www.secura.com/pathtoimg.php?id=2055
https://github.com/SecuraBV/CVE-2020-1472/