【漏洞通告】Netlogon 特权提升漏洞(CVE-2020-1472)处置手册
2020-09-17
一. 漏洞概述
近日,海王捕鱼监测到国外安全公司Secura公开了NetLogon特权提升漏洞(CVE-2020-1472)的详细信息与验证脚本,导致漏洞风险骤然提升。攻击者需在与目标相同的局域网(LAN)上的计算机进行利用,未经身份验证的攻击者通过NetLogon远程协议(MS-NRPC)建立与域控制器连接的 安全通道时,可利用此漏洞获取域管理员访问权限。此漏洞为微软在8月补丁更新时披露,CVSS评分为10,影响广泛,目前网上已有EXP公布,请相关用户尽快采取措施进行防护。
Netlogon是Windows中用于为域控制器注册所有SRV资源记录的服务。提供用户和机器在域内网络上的认证与复制数据库进行域控备份,还用于维护域成员与域之间、域与域控之间、域DC与跨域DC之间的关系。
海王捕鱼第一时间复现了此漏洞:
参考链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
二. 影响范围
受影响版本
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (Server Core installation)
Windows Server, version 1903 (Server Core installation)
Windows Server, version 1909 (Server Core installation)
Windows Server, version 2004 (Server Core installation)
三. 漏洞检测
3.1 工具验证
披露此漏洞的Secura已在GitHub上传了验证脚本,相关用户可使用此工具进行检测:
https://github.com/SecuraBV/CVE-2020-1472
受影响系统(Windows Server 2012 R2)的检测结果如下:
3.2 产品检测
海王捕鱼远程安全评估系统(RSAS)与网络入侵检测系统(IDS)、综合威胁探针(UTS)已具备对此漏洞的扫描与检测能力,请有部署以上设备的用户升级至最新版本。
|
安全产品版本 |
升级包版本号 |
升级包下载链接 |
|
RSAS V6 系统插件包 |
V6.0R02F01.1917 |
http://update.nsfocus.com/update/downloads/id/108456 |
|
IDS |
5.6.9.23542 |
http://update.nsfocus.com/update/downloads/id/108464 |
|
5.6.10.23542 |
http://update.nsfocus.com/update/downloads/id/108465 |
|
|
UTS |
5.6.10.23542 |
http://update.nsfocus.com/update/downloads/id/108469 |
关于RSAS的升级配置指导,请参考如下链接:
https://mp.weixin.qq.com/s/aLAWXs5DgRhNHf4WHHhQyg
四. 漏洞防护
4.1 官方升级
目前微软官方已针对受支持的系统版本发布了修复此漏洞的安全补丁,强烈建议受影响用户尽快安装补丁进行防护,官方下载链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
注:由于网络问题、计算机环境问题等原因,Windows Update的补丁更新可能出现失败。用户在安装补丁后,应及时检查补丁是否成功更新。
右键点击Windows图标,选择“设置(N)”,选择“更新和安全”-“Windows更新”,查看该页面上的提示信息,也可点击“查看更新历史记录”查看历史更新情况。
针对未成功安装的更新,可点击更新名称跳转到微软官方下载页面,建议用户点击该页面上的链接,转到“Microsoft更新目录”网站下载独立程序包并安装。
4.2 其他防护措施
在安装更新补丁后,还可通过部署域控制器 (DC) 强制模式以免受到该漏洞影响:
请参考官方文档进行配置《如何管理与 CVE-2020-1472 相关的 Netlogon 安全通道连接的更改》:
https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
4.3 产品防护
针对此漏洞,海王捕鱼网络入侵防护系统(IPS) 已发布规则升级包,请相关用户升级至最新版本规则,以形成安全产品防护能力。安全防护产品规则版本号如下:
|
安全防护产品 |
规则版本号 |
升级包下载链接 |
|
IPS |
5.6.9.23542 |
http://update.nsfocus.com/update/downloads/id/108464 |
|
5.6.10.23542 |
http://update.nsfocus.com/update/downloads/id/108465 |
产品规则升级的操作步骤详见如下链接:
IPS:https://mp.weixin.qq.com/s/JsRktENQNj1TdZSU62N0Ww
4.4 平台监测
绿盟企业安全平台(ESP-H)已经具备针对此漏洞的监测能力,部署有海王捕鱼平台类产品的用户,可实现对漏洞的平台监测能力。
|
安全平台 |
升级包/规则版本号 |
|
ESP-H(绿盟企业安全平台) |
使用最新规则升级包 ESP-EVENTRULE-013-20200915 |
声明
本安全公告仅用来描述可能存在的安全问题,海王捕鱼不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,海王捕鱼以及安全公告作者不为此承担任何责任。
海王捕鱼拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经海王捕鱼允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于海王捕鱼
海王捕鱼集团股份有限公司(简称海王捕鱼)成立于2000年4月,总部位于北京。在国内外设有40个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,海王捕鱼在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
海王捕鱼集团股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:海王捕鱼,股票代码:300369。
