01 漏洞概述
漏洞简介
NetLogon 远程协议是一种在 Windows 域控上使用的 RPC 接口,被用于各种与用户和机器认证相关的任务。最常用于让用户使用 NTLM 协议登录服务器,也用于 NTP 响应认证以及更新计算机域密码。微软于8月11日 发布了Netlogon 特权提升漏洞安全通告。此漏洞CVE编号CVE-2020-1472, CVSS 评分:10.0。
当攻击者使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接的易受攻击的 Netlogon 安全通道时存在特权提升漏洞。成功利用此漏洞的攻击者可以在网络中的设备上运行经特殊设计的应用程序,获取域控制器的管理员权限。
影响范围
【漏洞等级】
严重
【影响版本】
-
Windows Server 2008 R2 for x64-based Systems Service Pack 1
-
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
-
Windows Server 2012
-
Windows Server 2012 (Server Core installation)
-
Windows Server 2012 R2
-
Windows Server 2012 R2 (Server Core installation)
-
Windows Server 2016
-
Windows Server 2016 (Server Core installation)
-
Windows Server 2019
-
Windows Server 2019 (Server Core installation)
-
Windows Server, version 1903 (Server Core installation)
-
Windows Server, version 1909 (Server Core installation)
-
Windows Server, version 2004 (Server Core installation)
02 漏洞复现
该漏洞因微软在Netlogon协议中没有正确使用加密算法而造成。Netlogon协议身份认证采用了挑战-相应机制,在进行AES加密运算过程中,使用了AES-CFB8模式并且错误的将IV设置为全零,这使得攻击者在明文(client challenge)、IV等要素可控的情况下,存在较高概率使得产生的密文为全零,进而使漏洞产生。又因为认证次数没做限制,签名功能客户端默认可选,使得漏洞顺利被利用。
华云安安全实验室复现了该漏洞,复现情况如下:
系统版本
Windows Server 2012 R2 Stardard
复现步骤
1、未经身份验证的NetLogon特权提升,执行exp输入域控名称,目标主机IP,即可执行测试。
2、获取目标主机域内凭据信息
3、利用获取到的hash值进行登录,拿到权限
复现结果表名,攻击者可以不经身份验证,利用此漏洞轻松获取域控权限,并进而控制整个域环境,危害极大。
03 漏洞修复与产品支持
漏洞修复
1.目前微软官方已针对受支持的产品版本发布了修复此漏洞的安全补丁,强烈建议受影响用户尽快安装补丁进行防护,官方下载链接:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
2.在安装更新补丁后,还可通过部署域控制器 (DC) 强制模式以免受到该漏洞影响:
请参考官方文档进行配置《如何管理与 CVE-2020-1472 相关的 Netlogon 安全通道连接的更改》:
https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc
产品支持
华云安灵洞®威胁与漏洞管理平台(Ai.Vul),已经下发相关情报信息,能够帮助用户准确定位受影响资产,如需帮助请联系010-56352300、[email protected]
【参考文献】
1.https://www.secura.com/blog/zero-logon
2.https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472
来源:freebuf.com 0000-00-00 00:00:00 by: 华云安huaun
请登录后发表评论
注册