在微软每月的例行补丁日当天,修复了一个 Windows 严重的 NetLogon 特权提升漏洞。通过 Netlogon 远程协议(MS-NRPC)建立与域控制器连接安全通道时存在漏洞,远程(本地网络)攻击者可以利用此漏洞无需身份验证获取域控制器的管理员权限。
NetLogon 远程协议是一种在 Windows 域控上使用的 RPC 接口,被用于各种与用户和机器认证相关的任务。最常用于让用户使用 NTLM 协议登录服务器,也用于 NTP 响应认证以及更新计算机域密码。
2020年9月11日,国外安全厂商将该漏洞(CVE-2020-1472)的验证脚本公开上传到 Github,相关的技术细节也已经被公布,构成非常严重的现实威胁。该漏洞 CVSS 评级为 10 分,导致的威胁非常严重,强烈建议相关企业用户安装对应补丁。
CVE编号
CVE-2020-1472
影响范围
- Windows Server, version 2004 (Server Core installation)
- Windows Server 2008 R2 for x64-ba sed Systems Service Pack 1
- Windows Server 2008 R2 for x64-ba sed Systems Service Pack 1 (Server Core installation)
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
修复方案
-
微软已发布相关补丁更新,进行用户手动升级,升级链接如下:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472
开启的 RPC 的强制安全模式,具体可参考参考微软官方文档:https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
参考
[1] https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472
[3] https://github.com/SecuraBV/CVE-2020-1472/
[4] https://mp.weixin.qq.com/s/nRKuFAD-ev9k5icUmYdkvg
白帽汇从事信息安全,专注于安全大数据、企业威胁情报。
公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。
为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。