【安全通报】Microsoft NetLogon远程特权提升漏洞（CVE-2020-1472）通告

在微软每月的例行补丁日当天，修复了一个 Windows 严重的 NetLogon 特权提升漏洞。通过 Netlogon 远程协议（MS-NRPC）建立与域控制器连接安全通道时存在漏洞，远程（本地网络）攻击者可以利用此漏洞无需身份验证获取域控制器的管理员权限。

NetLogon 远程协议是一种在 Windows 域控上使用的 RPC 接口，被用于各种与用户和机器认证相关的任务。最常用于让用户使用 NTLM 协议登录服务器，也用于 NTP 响应认证以及更新计算机域密码。

2020年9月11日，国外安全厂商将该漏洞（CVE-2020-1472）的验证脚本公开上传到 Github，相关的技术细节也已经被公布，构成非常严重的现实威胁。该漏洞 CVSS 评级为 10 分，导致的威胁非常严重，强烈建议相关企业用户安装对应补丁。

CVE编号

CVE-2020-1472

影响范围

• Windows Server, version 2004 (Server Core installation)
• Windows Server 2008 R2 for x64-ba sed Systems Service Pack 1
• Windows Server 2008 R2 for x64-ba sed Systems Service Pack 1 (Server Core installation)
• Windows Server 2012
• Windows Server 2012 (Server Core installation)
• Windows Server 2012 R2
• Windows Server 2012 R2 (Server Core installation)
• Windows Server 2016
• Windows Server 2016 (Server Core installation)
• Windows Server 2019
• Windows Server 2019 (Server Core installation)
• Windows Server, version 1903 (Server Core installation)
• Windows Server, version 1909 (Server Core installation)

修复方案

1. 微软已发布相关补丁更新，进行用户手动升级，升级链接如下：

   https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

2. 开启的 RPC 的强制安全模式，具体可参考参考微软官方文档：https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

参考

[1] https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

[2] https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

[3] https://github.com/SecuraBV/CVE-2020-1472/

[4] https://mp.weixin.qq.com/s/nRKuFAD-ev9k5icUmYdkvg

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。