专栏首页绿盟科技安全情报【漏洞通告】Netlogon 特权提升漏洞(CVE-2020-1472)处置手册

【漏洞通告】Netlogon 特权提升漏洞(CVE-2020-1472)处置手册

通告编号:NS-2020-0053

2020-09-15

TAG:

Netlogon 、CVE-2020-1472、EXP已公开

漏洞危害:

攻击者利用此漏洞,可获取域控制器的管理员权限。

版本:

1.0

1

漏洞概述

近日,绿盟科技监测到国外安全公司Secura公开了NetLogon特权提升漏洞(CVE-2020-1472)的详细信息与验证脚本,导致漏洞风险骤然提升。攻击者需在与目标相同的局域网(LAN)上的计算机进行利用,未经身份验证的攻击者通过NetLogon远程协议(MS-NRPC)建立与域控制器连接的 安全通道时,可利用此漏洞获取域管理员访问权限。此漏洞为微软在8月补丁更新时披露,CVSS评分为10,影响广泛,目前网上已有EXP公布,请相关用户尽快采取措施进行防护。

Netlogon是Windows中用于为域控制器注册所有SRV资源记录的服务。提供用户和机器在域内网络上的认证与复制数据库进行域控备份,还用于维护域成员与域之间、域与域控之间、域DC与跨域DC之间的关系。

绿盟科技第一时间复现了此漏洞:

参考链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

SEE MORE →

2影响范围

受影响版本

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)

3漏洞检测

3.1 工具验证

披露此漏洞的Secura已在GitHub上传了验证脚本,相关用户可使用此工具进行检测:

https://github.com/SecuraBV/CVE-2020-1472

受影响系统(Windows Server 2012 R2)的检测结果如下:

3.2 产品检测

绿盟科技远程安全评估系统(RSAS)与网络入侵检测系统(IDS)、综合威胁探针(UTS)已具备对此漏洞的扫描与检测能力,请有部署以上设备的用户升级至最新版本。

安全产品版本

升级包版本号

升级包下载链接

RSAS V6 系统插件包

V6.0R02F01.1917

http://update.nsfocus.com/update/downloads/id/108456

IDS

5.6.9.23542

http://update.nsfocus.com/update/downloads/id/108464

5.6.10.23542

http://update.nsfocus.com/update/downloads/id/108465

UTS

5.6.10.23542

http://update.nsfocus.com/update/downloads/id/108469

关于RSAS的升级配置指导,请参考如下链接:

https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg

4漏洞防护

4.1 官方升级

目前微软官方已针对受支持的系统版本发布了修复此漏洞的安全补丁,强烈建议受影响用户尽快安装补丁进行防护,官方下载链接:

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

注:由于网络问题、计算机环境问题等原因,Windows Update的补丁更新可能出现失败。用户在安装补丁后,应及时检查补丁是否成功更新。

右键点击Windows图标,选择“设置(N)”,选择“更新和安全”-“Windows更新”,查看该页面上的提示信息,也可点击“查看更新历史记录”查看历史更新情况。

针对未成功安装的更新,可点击更新名称跳转到微软官方下载页面,建议用户点击该页面上的链接,转到“Microsoft更新目录”网站下载独立程序包并安装。

4.2 其他防护措施

在安装更新补丁后,还可通过部署域控制器 (DC) 强制模式以免受到该漏洞影响:

请参考官方文档进行配置《如何管理与 CVE-2020-1472 相关的 Netlogon 安全通道连接的更改》:

https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

4.3 产品防护

针对此漏洞,绿盟科技网络入侵防护系统(IPS) 已发布规则升级包,请相关用户升级至最新版本规则,以形成安全产品防护能力。安全防护产品规则版本号如下:

安全防护产品

规则版本号

升级包下载链接

IPS

5.6.9.23542

http://update.nsfocus.com/update/downloads/id/108464

5.6.10.23542

http://update.nsfocus.com/update/downloads/id/108465

产品规则升级的操作步骤详见如下链接:

IPS:https://mp.weixin.qq.com/s/JsRktENQNj1TdZSU62N0Ww

END

作者:绿盟科技威胁对抗能力部

本文分享自微信公众号 - 绿盟科技安全预警(nsfocus_secwarning),作者:威胁对抗能力部

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2020-09-15

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 【漏洞通告】Windows DNS服务器远程代码执行漏洞(CVE-2020-1350)通告

    7月15日,微软发布7月安全更新补丁,其中修复了一个Windows DNS服务器远程代码执行漏洞(CVE-2020-1350),代号为SigRed,此漏洞已存在...

    绿盟科技安全情报
  • 【预警通告】Windows远程桌面服务远程代码执行漏洞(CVE-2019-0708)EXP披露预警

    北京时间9月7日凌晨,有开发者在GitHub上披露了Windows远程桌面服务远程代码执行漏洞 (CVE-2019-0708) 的Metasploit利用模块,...

    绿盟科技安全情报
  • 【安全更新】微软11月安全更新多个产品高危漏洞

    北京时间11月11日,微软发布11月安全更新补丁,修复了112个安全问题,涉及Microsoft Windows、Microsoft Office、Micros...

    绿盟科技安全情报
  • 【漏洞通告】Windows DNS服务器远程代码执行漏洞(CVE-2020-1350)通告

    7月15日,微软发布7月安全更新补丁,其中修复了一个Windows DNS服务器远程代码执行漏洞(CVE-2020-1350),代号为SigRed,此漏洞已存在...

    绿盟科技安全情报
  • 【安全通知】关于Windows 远程桌面服务蠕虫利用风险的高危预警

       近日,腾讯云安全中心监测到微软应急响应中心近日披露了Windows Server 2003, Windows Server 2008 R2 及 Windo...

    陌涛
  • Windows Server 2019前瞻

    十一假期马上就过完了,不知道各位小伙伴玩的怎么样啊,是否有遇到“人在囧途”或者是否看到了处处大海。微软于2018年9月24日-28日在美国召开了Ignite 2...

    SuperDream
  • 3 游戏后端开发需要掌握的知识

    范蠡
  • Windows Server 2008 与 .NET Framework 的版本之间有什么关系

    Windows Server 2008就要上市了,用虚拟机安装了两个版本的,一个Server Core的,也就是类Unix的命令行管理的版本,另一个是企业板。I...

    张善友
  • 一个支持多人在线联网的骰子游戏,个人开发 顶

    Windows版本http://47.106.151.202/chatclient.rar,注:windows版本需要安装jdk1.7或以上才可以使用。

    算法之名
  • 如何解决MSSQL自增字段突然增大1000中的自增跳跃问题?

    昨天看服务器提示有补丁升级,就重启了一下服务器。可是今天用户反馈一个记录的Id跳了1000开始,心想这下是不是程序的bug,或者有数据丢失了?

    崔文远TroyCui

扫码关注云+社区

领取腾讯云代金券