0x01 resumen de la vulnerabilidad
El 11 de agosto de 2020, Microsoft emitió un boletín de seguridad, anunciando información sobre la vulnerabilidad de elevación de privilegios de Netlogon (CVE-2020-1472). Desde el día 12, los principales equipos de investigación de seguridad han notado lagunas sobre la vulnerabilidad.
La siguiente figura es una evaluación de la influencia de una determinada fábrica en la vulnerabilidad:
Detalles de la vulnerabilidad 0x02
El componente NetLogon es un componente funcional importante en Windows. Se utiliza para autenticar usuarios y máquinas en la red intradominio, y para replicar la base de datos para la copia de seguridad del control de dominio. También se utiliza para mantener miembros y dominios de dominio, entre dominios y control de dominio. La relación entre la DC de dominio y la DC de dominio cruzado.
Cuando un atacante utiliza el protocolo remoto Netlogon (MS-NRPC) para establecer un canal seguro Netlogon vulnerable a un controlador de dominio, existe una vulnerabilidad de elevación de privilegios. Cuando esta vulnerabilidad se explota con éxito, el atacante puede ejecutar una aplicación especialmente diseñada en el dispositivo en la red sin pasar la autenticación y obtener los derechos de administrador del controlador de dominio.
0x03 Alcance de influencia
• Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1
• Windows Server 2008 R2 para sistemas basados en x64 Service Pack 1 (instalación Server Core)
• Windows Server 2012
• Windows Server 2012 (instalación Server Core)
• Windows Server 2012 R2
• Windows Server 2012 R2 (instalación Server Core)
• Windows Server 2016
• Windows Server 2016 (instalación Server Core)
• Windows Server 2019
• Windows Server 2019 (instalación Server Core)
• Windows Server, versión 1903 (instalación Server Core)
• Windows Server, versión 1909 (instalación Server Core)
• Windows Server, versión 2004 (instalación Server Core)
Verificación de vulnerabilidad 0x04
carga útil:
python3 CVE-2020-1472.py DC-name NetBIOS-name Target-ip
Nota: Si no conoce el nombre de DC del controlador de dominio de destino y el nombre de NetBIOS, puede usar nmap para escanear el destino
nmap -A IP
Sugerencia de reparación 0x05
Recomendaciones generales de reparación
Debe actualizar la versión de Microsoft Windows de manera oportuna y mantener activadas las actualizaciones automáticas de Windows.
El servidor de Windows / Windows detecta e inicia el proceso de actualización automática de Windows de la siguiente manera
• Haga clic en el menú de inicio y seleccione "Panel de control" en el menú emergente para continuar con el siguiente paso.
• Haga clic en "Sistema y seguridad" en la página del panel de control para ingresar la configuración.
• En la nueva interfaz que aparece, seleccione "Activar o desactivar actualizaciones automáticas" en "actualización de Windows".
• Luego ingrese a la ventana de configuración, expanda el elemento del menú desplegable y seleccione la actualización de instalación automática (recomendado).
Plan de actualización manual
Utilice el siguiente enlace para encontrar el parche de vulnerabilidad que coincida con la versión del sistema operativo y descargue e instale el parche.
CVE-2020-1472 | Vulnerabilidad de elevación de privilegios de NetLogon -> https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
Habilitar el modo DC forzado
El modo forzado de la CC abierta, consulte el enlace a continuación para obtener más detalles
Línea de tiempo 0x06
2020/8/11 Microsoft publicó un boletín de seguridad
2020/8/12 Aviso de lanzamiento de fabricantes nacionales
2020/9/11 informe de análisis público de secura y PoC
2020/9/16 East Tower Security Academy publicó un artículo de advertencia de vulnerabilidad
Enlace de referencia 0x07
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472
https://www.secura.com/pathtoimg.php?id=2055
https://github.com/SecuraBV/CVE-2020-1472/
https://github.com/blackarrowsec/redteam-research
Reimprimir es una especie de poder Compartir es una virtud