近日,国外安全厂商发布了NetLogon权限提升漏洞(CVE-2020-1472)的详细技术分析文章和验证脚本。此漏洞是微软8月份发布安全公告披露的紧急漏洞,漏洞评分10分。未经身份认证的攻击者可通过使用Netlogon远程协议(MS-NRPC)连接域控制器来利用此漏洞,成功利用此漏洞的攻击者可获得域管理员访问权限,漏洞利用后果严重。请用户及时打上微软补丁程序,做好防护措施。
漏洞名称:NetLogon权限提升漏洞
漏洞编号:CVE-2020-1472
漏洞等级:高危
漏洞简介:当攻击者使用Netlogon远程协议(MS-NRPC)建立与域控制器的易受攻击的Netlogon安全通道连接时,将存在特权提升漏洞。成功利用此漏洞的攻击者可以在网络上的设备上运行特制的应用程序。要利用此漏洞,需要未经身份验证的攻击者使用MS-NRPC连接到域控制器以获得域管理员访问权限。
影响范围:
- WindowsServer2008R2forx64-basedSystemsServicePack1
- WindowsServer2008R2forx64-basedSystemsServicePack1(ServerCoreinstallation)
- WindowsServer2012
- WindowsServer2012(ServerCoreinstallation)
- WindowsServer2012R2
- WindowsServer2012R2(ServerCoreinstallation)
- WindowsServer2016
- Windows Server 2016 (Server Core installation)
- WindowsServer2019
- Windows Server 2019 (Server Core installation)
- WindowsServer,version1903(ServerCoreinstallation)
- WindowsServer,version1909(ServerCoreinstallation)
- WindowsServer,version2004(ServerCoreinstallation)
微软官方已针对该漏洞发布了安全补丁,补丁程序下载链接:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
DC上开启强制模式
详细配置参考微软官方文档
《如何管理与 CVE-2020-1472相关联的Netlogon安全频道连接中的更改》https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure- channel-connections-assoc