2020年9月15日，金山云安全应急响应中心监测到国外安全厂商公开了NetLogon特权提升漏洞（CVE-2020-1472）的详细技术分析和验证脚本。

该漏洞危害极大，漏洞利用代码公开致使危害陡增。请广大用户高度关注并尽快采取相关防护措施。

漏洞描述

NetLogon权限提升漏洞（CVE-2020-1472），漏洞评分为10分，危害等级为严重，影响面广泛，微软8月份发布例行安全公告更新了该漏洞安全补丁。

攻击者通过NetLogon（MS-NRPC），建立与域控间易受攻击的安全通道时，可利用此漏洞无须身份验证可获取域控制器的管理员权限。成功利用此漏洞的攻击者可以在该网络中的设备上运行相应代码或者程序。

风险等级

严重

影响版本

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016 (Server Core installation)

Windows Server 2019

Windows Server 2019 (Server Core installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 2004 (Server Core installation)

修复建议

1. 尽快使用Windows Update安装补丁；

2. 建议企业用户参考微软官方文档强制实施安全RPC来解决该漏洞

Step1:安装2020年8月11日的安全更新

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

step2：在DC上开启强制模式

具体配置可参考微软官方文档

《如何管理与CVE-2020-1472相关联的NetLogon安全频道连接中的更改》

https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

参考链接

[1]https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

[2]https://github.com/SecuraBV/CVE-2020-1472

[3]https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

[4]https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

北京金山云网络技术有限公司

2020/09/15