【安全通报】Microsoft NetLogon远程特权提升漏洞(CVE-202...

image-20200915100639322.png

在微软每月的例行补丁日当天,修复了一个 Windows 严重的 NetLogon 特权提升漏洞。通过 Netlogon 远程协议(MS-NRPC)建立与域控制器连接安全通道时存在漏洞,远程(本地网络)攻击者可以利用此漏洞无需身份验证获取域控制器的管理员权限。

NetLogon 远程协议是一种在 Windows 域控上使用的 RPC 接口,被用于各种与用户和机器认证相关的任务。最常用于让用户使用 NTLM 协议登录服务器,也用于 NTP 响应认证以及更新计算机域密码。

2020年9月11日,国外安全厂商将该漏洞(CVE-2020-1472)的验证脚本公开上传到 Github,相关的技术细节也已经被公布,构成非常严重的现实威胁。该漏洞 CVSS 评级为 10 分,导致的威胁非常严重,强烈建议相关企业用户安装对应补丁。

图片.png

CVE编号

CVE-2020-1472

影响范围

  • Windows Server, version 2004 (Server Core installation)
  • Windows Server 2008 R2 for x64-ba sed Systems Service Pack 1
  • Windows Server 2008 R2 for x64-ba sed Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)

修复方案

  1. 微软已发布相关补丁更新,进行用户手动升级,升级链接如下:

    https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

  2. 开启的 RPC 的强制安全模式,具体可参考参考微软官方文档:https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

参考

[1] https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

[2] https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

[3] https://github.com/SecuraBV/CVE-2020-1472/

[4] https://mp.weixin.qq.com/s/nRKuFAD-ev9k5icUmYdkvg

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文

为您推荐