首頁 > 安全研究 > 安全通報 > 安全通告

CVE-2020-1472 | NetLogon特權提升漏洞通告

發布時間 2020-09-15

 

0x00 漏洞概述

CVE   ID

CVE-2020-1472

   

2020-09-15

   


   級

高危

遠程利用


影響范圍


 

微軟2020年8月11日星期二發布例行安全公告時披露,當攻擊者使用Netlogon遠程協議(MS-NRP)(又稱為“ Netlogon特權提升漏洞”)創建與域控制器的易受攻擊的Netlogon安全通道連接時,將存在特權提升漏洞。該漏洞跟蹤為CVE-2020-1472,CVSS評分為10分,影響面廣,漏洞利用后果嚴重。

0x01 漏洞詳情

image.png 

 

CVE-2020-1472是一個特權提升漏洞,其由于對Netlogon會話使用不安全的AES-CFB8加密。AES-CFB8標準要求,每個純文本字節(如密碼)都必須具有隨機化的初始化向量(IV),以便不能猜測密碼。

Netlogon中的ComputeNetlogonCredential函數將IV設置為固定的16位,這意味著攻擊者可以控制解密的文本。當嘗試向域控制器(DC)進行身份驗證時,攻擊者可以利用此缺陷來模擬網絡上任何計算機的身份。然后可能會發生進一步的攻擊,包括完全控制Windows域。此外,攻擊者還可以運行Impacket的“ secretsdump”腳本從目標域控制器提取用戶哈希列表。

為了利用此漏洞,攻擊者需要從與目標相同的局域網(LAN)上的計算機發起攻擊。易受攻擊的客戶端或暴露于互聯網DC本身無法利用。該攻擊欺騙性登錄偽裝成正常的域登錄嘗試。Active Directory(AD)需要將連接的客戶端識別為在其邏輯拓撲中,而外部地址則不會。

image.png 


該漏洞影響范圍如下:

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 2004 (Server Core installation)


目前,該漏洞的PoC已公布到GitHub 上,這將引起整個安全社區的廣泛興趣和試驗。由于研究人員一直在努力進行成功的開發,嚴重且引人注目的漏洞往往更能引起安全研究人員和攻擊者的廣泛關注。

0x02 處置建議

Microsoft正在分階段解決此漏洞。

初始階段

2020年8月11日發布的Windows更新開始。這些更新將使域控制器(DC)在默認情況下保護Windows設備,記錄不符合規定的設備發現的事件,并可以選擇啟用對具有明顯異常的所有域連接設備的保護。

第二階段

2021年第一季度發布,標志著過渡到執行階段。DC將被置于強制模式,該模式要求所有Windows和非Windows設備都通過Netlogon安全通道使用安全的遠程過程調用(RPC)。

修復建議:

1.目前微軟官方已發布安全更新,建議使用Windows Update進行更新。

補丁鏈接地址:

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

2.該漏洞可使用安全 RPC 來解決,詳細信息請參考微軟官方手冊:

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

3.可在DC上開啟強制模式。

詳細信息請參考微軟官方文檔:

How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472》

文檔鏈接

https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

0x03 相關新聞

https://zh-cn.tenable.com/blog/cve-2020-1472-zerologon-vulnerability-in-netlogon-could-allow-attackers-to-hijack-windows?tns_redirect=true

0x04 參考鏈接

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

https://nvd.nist.gov/vuln/detail/CVE-2020-1472

https://github.com/SecuraBV/CVE-2020-1472

0x05 時間線

2020-08-11 微軟官方發布漏洞公告

2020-09-15  VSRC發布安全通告

 

image.png 

 


上一篇 下一篇