当前位置:首页 >> 业界动态
Microsoft NetLogon 远程特权提升(CVE-2020-1472)漏洞通告
1. 漏洞类型:
TAG: 域控、NetLogon 组件、权限提升
危害等级:
应急等级: 黄色

2. 漏洞影响:
  通过 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接安全通道时存在的特权提升漏洞,成功利用此漏洞无需身份验证即可获取域控制器的管理员权限,且该漏洞影响几乎全版本的 Windows Server。

3. 受影响版本:
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1(Server Core installation)
  • Windows Server 2012
  • Windows Server 2012(Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2(Server Core installation)
  • Windows Server 2016
  • Windows Server 2016(Server Core installation)
  • Windows Server 2019
  • Windows Server 2019(Server Core installation)
  • Windows Server, version 1903(Server Core installation)
  • Windows Server, version 1909(Server Core installation)
  • Windows Server, version 2004(Server Core installation)

4. 漏洞解析:
该漏洞主要是由于在使用 Netlogon 安全通道与域控进行连接时,由于认证协议加密部分的缺陷,导致当攻击者使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接的易受攻击的 Netlogon 安全通道时,可以将域控管理员用户的密码置为空,从而进一步实现密码 hash 获取并最终获得管理员权限。成功的利用可以实现以管理员权限登录域控设备,并进一步控制整个域。

5. 检测方法:
使用工具:cve-2020-1472-exploit.py、python3.7

检测方法:命令行运行 python3 cve-2020-1472-exploit.py -t 被检测服务器 IP -n 域控服务器名称

参数解释:
在 cve-2020-1472-exploit.py 文件里参数的含义
-t:被检测的服务器的 ipv4 地址
-n:环境所处的域控服务器名称

检测结果:
python3 cve-2020-1472-exploit.py -t 192.168.231.156 -n AD-Server

如图,检测结果返回“Success:Target is vulnerable!”,则证明被检测服务器存在 CVE-2020-1472 漏洞,如果没有该结果返回,则被检测服务器不存在 CVE-2020-1472 漏洞。

6. 解决措施:
1) 微软已发布相关补丁更新,进行用户手动升级,升级链接如下:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advi sory/CVE-2020-1472

2) 开启的 RPC 的强制安全模式,具体可参考参考微软官方文档:
https://support.microsoft.com/zh-cn/help/4557222/how-to-manage -the-changes-in-netlogon-secure-channel-connections-assoc

7. 相关链接:
1) https://portal.msrc.microsoft.com/zh-CN/security-guidance/advi sory/CVE-2020-1472

2) https://support.microsoft.com/zh-cn/help/4557222/how-to-manage -the-changes-in-netlogon-secure-channel-connections-assoc