NetLogon特权提升漏洞利用工具公开,腾讯御界支持检测

2020-09-14 23:16:52
有国外安全厂商将NetLogon特权提升漏洞(CVE-2020-1472)的详细技术分析和验证脚本公开上传到github。该漏洞高度危险,漏洞利用代码公开意味着大规模的漏洞利用将很快到来。
漏洞描述

腾讯安全威胁情报中心注意到有国外安全厂商将NetLogon特权提升漏洞(CVE-2020-1472)的详细技术分析、验证脚本公开上传到github。最新消息是,该漏洞的利用工具也在github公开。

NetLogon特权提升漏洞(CVE-2020-1472)高度危险,漏洞利用代码公开意味着大规模的漏洞利用将很快到来。腾讯安全团队紧急响应,腾讯T-Sec高级威胁检测系统(御界)已率先支持检测NetLogon特权提升漏洞的攻击利用。

编号为CVE-2020-1472的NetLogon特权提升漏洞,是微软8月份发布例行安全公告时披露的,该漏洞评分为10分,为严重等级,即影响面广,漏洞利用后果严重。腾讯安全威胁情报中心在8月12日当天曾经发文提醒企业用户高度关注。

当攻击者使用Netlogon远程协议(MS-NRPC)建立与域控制器连接的易受攻击的 Netlogon安全通道时,存在特权提升漏洞。成功利用此漏洞的攻击者可以在网络中的设备上运行经特殊设计的应用程序。 

攻击者利用此漏洞,无须身份验证,可获取域控制器的管理员权限。

漏洞等级:严重(CVSS评分10)


漏洞影响范围:
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)

漏洞修复方案:

1.腾讯安全专家建议用户尽快使用Windows Update安装补丁;腾讯T-Sec终端安全管理系统(腾讯御点)已支持检测、安装该漏洞的补丁。

手动下载补丁可参考:https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472


2.建议企业用户参考微软官方文档在域控制器强制实施安全 RPC 消除漏洞风险。
具体配置指南可参考微软官方文档:《如何管理与 CVE-2020-1472 相关联的 Netlogon 安全频道连接中的更改》

时间线:
2020.8.11 微软官方发布漏洞公告;
2020.8.12 腾讯安全威胁情报中心首次发布漏洞风险通告;
2020.9.11 NetLogon特权提升漏洞验证脚本和技术分析文章在github公开;
2020.9.14 腾讯安全威胁情报中心再次发布CVE-2020-1472漏洞风险通告;
2020.9.15 NetLogon特权提升漏洞利用工具在github公开;
2020.9.15 腾讯T-Sec高级威胁检测系统(腾讯御界)已支持检测该漏洞的利用。

参考链接:
https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

https://github.com/SecuraBV/CVE-2020-1472

最新资讯