微软Windows NetLogon远程特权提升漏洞 (CVE-2020-1472) 通告

通告概要

2020年8月11日，在微软每月的例行补丁日当天，修复了一个Windows 严重的NetLogon特权提升漏洞。通过Netlogon 远程协议（MS-NRPC）建立与域控制器连接安全通道时存在漏洞，远程（本地网络）攻击者可以利用此漏洞无需身份验证获取域控制器的管理员权限。

2020年9月近期国外安全厂商将该漏洞（CVE-2020-1472）的验证脚本公开上传到Github，相关的技术细节也已经被公布，构成非常严重的现实威胁。奇安信威胁情报中心红雨滴团队第一时间跟进了该漏洞，鉴于该漏洞CVSS 10分的评级，漏洞导致的威胁非常严重，强烈建议相关企业用户安装对应补丁。

漏洞概要

漏洞描述

通过Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接安全通道时存在的特权提升漏洞，成功利用此漏洞无需身份验证即可获取域控制器的管理员权限。

影响面评估

该漏洞影响几乎全版本的Windows Server，相关技术细节已经被公布，奇安信强烈建议受影响用户及时更新补丁，做好相应防护。

处置建议

临时处置措施

针对该漏洞，微软已发布相关补丁更新，见如下链接:

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

相关企业用户建议在安装了相关补丁之后，参考微软官方文档通过强制安全RPC措施进行进一步的防护，具体见微软提供的参考文档

https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

参考资料

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

https://github.com/SecuraBV/CVE-2020-1472

声明：本文来自奇安信威胁情报中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。