通告概要

2020年8月11日,在微软每月的例行补丁日当天,修复了一个Windows 严重的NetLogon特权提升漏洞。通过Netlogon 远程协议(MS-NRPC)建立与域控制器连接安全通道时存在漏洞,远程(本地网络)攻击者可以利用此漏洞无需身份验证获取域控制器的管理员权限。

2020年9月近期国外安全厂商将该漏洞(CVE-2020-1472)的验证脚本公开上传到Github,相关的技术细节也已经被公布,构成非常严重的现实威胁。奇安信威胁情报中心红雨滴团队第一时间跟进了该漏洞,鉴于该漏洞CVSS 10分的评级,漏洞导致的威胁非常严重,强烈建议相关企业用户安装对应补丁。

漏洞概要

漏洞名称

Microsoft NetLogon特权提升漏洞(CVE-2020-1472)

威胁类型

特权提升

威胁等级

严重

漏洞ID

CVE-2020-1472

利用场景

通过Netlogon 远程协议(MS-NRPC))建立与域控制器连接安全通道时,存在特权提升漏洞,远程(本地网络)攻击者利用此漏洞无需身份验证获取域控制器的管理员权限。

受影响系统及应用版本

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 2004 (Server Core installation)

漏洞描述

通过Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接安全通道时存在的特权提升漏洞,成功利用此漏洞无需身份验证即可获取域控制器的管理员权限。

影响面评估

该漏洞影响几乎全版本的Windows Server,相关技术细节已经被公布,奇安信强烈建议受影响用户及时更新补丁,做好相应防护。

处置建议

临时处置措施

针对该漏洞,微软已发布相关补丁更新,见如下链接:

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

相关企业用户建议在安装了相关补丁之后,参考微软官方文档通过强制安全RPC措施进行进一步的防护,具体见微软提供的参考文档

https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

参考资料

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

https://github.com/SecuraBV/CVE-2020-1472

声明:本文来自奇安信威胁情报中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。