Microsoft NetLogon远程特权提升漏洞（CVE-2020-1472）通告

文档信息

编号	QiAnXinTI-SV-2020-0015
关键字	Netlogon CVE-2020-1472 域控制器
创建日期	2020年09月14日
更新日期	2020年09月14日
TLP	WHITE
分析团队	奇安信威胁情报中心红雨滴团队

通告概要

2020年8月11日，在微软每月的例行补丁日当天，修复了一个Windows 严重的NetLogon特权提升漏洞。通过Netlogon 远程协议（MS-NRPC）建立与域控制器连接安全通道时存在漏洞，远程（本地网络）攻击者可以利用此漏洞无需身份验证获取域控制器的管理员权限。

2020年9月近期国外安全厂商将该漏洞（CVE-2020-1472）的验证脚本公开上传到Github，相关的技术细节也已经被公布，构成非常严重的现实威胁。奇安信威胁情报中心红雨滴团队第一时间跟进了该漏洞，鉴于该漏洞CVSS 10分的评级，漏洞导致的威胁非常严重，强烈建议相关企业用户安装对应补丁。

漏洞概要

漏洞名称	Microsoft  NetLogon特权提升漏洞（CVE-2020-1472）
威胁类型	特权提升	威胁等级	严重	漏洞ID	CVE-2020-1472
利用场景	通过Netlogon 远程协议（MS-NRPC） 建立与域控制器连接安全通道时，存在特权提升漏洞，远程（本地网络）攻击者利用此漏洞无需身份验证获取域控制器的管理员权限。
受影响系统及应用版本
Windows  Server 2008 R2 for x64-based Systems Service Pack 1
Windows  Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core  installation)
Windows  Server 2012
Windows  Server 2012 (Server Core installation)
Windows  Server 2012 R2
Windows  Server 2012 R2 (Server Core installation)
Windows  Server 2016
Windows  Server 2016 (Server Core installation)
Windows  Server 2019
Windows  Server 2019 (Server Core installation)
Windows  Server, version 1903 (Server Core installation)
Windows  Server, version 1909 (Server Core installation)
Windows  Server, version 2004 (Server Core installation)

漏洞描述

通过Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接安全通道时存在的特权提升漏洞，成功利用此漏洞无需身份验证即可获取域控制器的管理员权限。

影响面评估

该漏洞影响几乎全版本的Windows Server，相关技术细节已经被公布，奇安信强烈建议受影响用户及时更新补丁，做好相应防护。

处置建议

附录A 临时处置措施

针对该漏洞，微软已发布相关补丁更新，见如下链接:

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

来源：奇安信威胁情报中心

【关闭】 【打印】