漏洞描述
近日亚信安全网络攻防实验室监测到境外有发布Microsoft NetLogon特权提升漏洞(CVE-2020-1472)相关poc代码,该漏洞是微软在2020年8月11日发布的安全更新通告中,修复的一个CVSS 10分的Windows NetLogon特权提升漏洞。通过Netlogon 远程协议(MS-NRPC)建立与域控制器连接安全通道时存在漏洞,远程(本地网络)攻击者可以利用此漏洞无需身份验证获取域控制器的管理员权限,由于该漏洞威胁十分严重,亚信安全网络攻防实验室在第一时间对该漏洞进行跟踪分析。
漏洞编号
CVE-2020-1472
漏洞威胁等级
高危
影响范围
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)
漏洞验证
使用公开的payload进行验证
简单分析
通过Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接安全通道时存在的特权提升漏洞,成功利用此漏洞无需身份验证即可获取域控制器的管理员权限。
修复建议
安装相应补丁包,补丁包下载:
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472
时间轴
[0] 2020/09/15 亚信安全网络攻防实验室分析&复现该漏洞并发布漏洞通告
Reference
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472
https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
https://www.secura.com/pathtoimg.php?id=2055
https://github.com/SecuraBV/CVE-2020-1472/