记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

[更新1.0:PoC公开]CVE-2020-1472: NetLogon特权提升漏洞通告

2020-09-15 11:23

报告编号:B6-2020-091502

报告来源:360CERT

报告作者:360CERT

更新日期:2020-09-15

0x01 更新概览

2020年09月14日,360CERT监测发现 secura 公开了针对该漏洞研究报告及 PoC,可造成 权限提升影响。本次更新标识该漏洞的利用工具公开,并可能在短时间内出现攻击态势。

具体更新详情可参考: 漏洞验证

0x02 漏洞简述

2020年08月12日, 360CERT监测发现 Windows官方 发布了 NetLogon 特权提升漏洞 的风险通告,该漏洞编号为 CVE-2020-1472,漏洞等级:严重,漏洞评分:10分

攻击者通过NetLogon(MS-NRPC),建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。成功利用此漏洞的攻击者可以在该网络中的设备上运行经特殊设计的应用程序。

对此,360CERT建议广大用户及时为各Windows Server操作系统安装最新相关补丁。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

0x03 风险等级

360CERT对该漏洞的评定结果如下

评定方式等级
威胁等级严重
影响面广泛
360CERT评分10分

0x04 漏洞详情

NetLogon组件 是 Windows 上一项重要的功能组件,用于用户和机器在域内网络上的认证,以及复制数据库以进行域控备份,同时还用于维护域成员与域之间、域与域控之间、域DC与跨域DC之间的关系。

当攻击者使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接的易受攻击的 Netlogon 安全通道时,存在特权提升漏洞。成功利用此漏洞的攻击者可以在网络中的设备上运行经特殊设计的应用程序。

漏洞验证

使用 SecuraBV/zerologon_tester.py 进行验证;可以看到在 windows server 2012 结果如下图所示

python版本: 3.8.5
域控版本: windows server 2008
测试机版本: windows server 2012

0x05 影响版本

- Windows Server 2008 R2 for x64-based Systems Service Pack 1

- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

- Windows Server 2012

- Windows Server 2012 (Server Core installation)

- Windows Server 2012 R2

- Windows Server 2012 R2 (Server Core installation)

- Windows Server 2016

- Windows Server 2016 (Server Core installation)

- Windows Server 2019

- Windows Server 2019 (Server Core installation)

- Windows Server, version 1903 (Server Core installation)

- Windows Server, version 1909 (Server Core installation)

- Windows Server, version 2004 (Server Core installation)

0x06 修复建议

通用修补建议

360CERT建议通过安装

360安全卫士

http://weishi.360.cn

进行一键更新。

应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。

Windows server / Windows 检测并开启Windows自动更新流程如下

- 点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。 

- 点击控制面板页面中的“系统和安全”,进入设置。

- 在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。

- 然后进入设置窗口,展开下拉菜单项,选择其中的自动安装更新(推荐)

手动升级方案:

通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。

CVE-2020-1472 | NetLogon 特权提升漏洞

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

0x07 产品侧解决方案

360安全卫士

针对本次安全更新,Windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

0x08 时间线

2020-08-11 微软发布漏洞通告

2020-08-12 360CERT发布通告

2020-09-11 secura公开分析报告及PoC

2020-09-15 360CERT更新通告

0x09 参考链接

1、 CVE-2020-1472 | NetLogon 特权提升漏洞

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

2、 pathtoimg.php

https://www.secura.com/pathtoimg.php?id=2055

3、 SecuraBV/CVE-2020-1472: Test tool for CVE-2020-1472

https://github.com/SecuraBV/CVE-2020-1472

推荐阅读:

1、安全事件周报 (09.07-09.13)

2、安全运营周刊第八期

3、360-CERT每日安全简报(2020-09-14)

长按下方二维码关注360CERT!谢谢你的关注!

注:360CERT官方网站提供 《[更新1.0:PoC公开]CVE-2020-1472: NetLogon特权提升漏洞通告》 完整详情,点击阅读原文


知识来源: https://mp.weixin.qq.com/s?__biz=MzU5MjEzOTM3NA==&mid=2247488151&idx=1&sn=32f893fcb96e40eee106292c8b6aac1d

阅读:2322 | 评论:0 | 标签:漏洞 CVE

想收藏或者和大家分享这篇好文章→复制链接地址

“[更新1.0:PoC公开]CVE-2020-1472: NetLogon特权提升漏洞通告”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云