近日，奇安信CERT监测到国外安全厂商发布了NetLogon 权限提升漏洞(CVE-2020-1472)的详细技术分析文章和验证脚本。此漏洞是微软8月份发布安全公告披露的紧急漏洞，CVSS漏洞评分10分，漏洞利用后果严重，未经身份认证的攻击者可通过使用 Netlogon 远程协议(MS-NRPC)连接域控制器来利用此漏洞。成功利用此漏洞的攻击者可获得域管理员访问权限。相关EXP已经出现。可以直接用于攻击。影响巨大。奇安信CERT强烈建议受影响用户及时更新补丁，做好相应防护。

此次更新新增内容：

1.漏洞相关EXP已经出现。可以直接用于攻击。影响巨大。奇安信CERT强烈建议受影响用户及时更新补丁，做好相应防护

2.新增了产品线解决方案

3.新增了技术分析

• 安全通告

近日，奇安信CERT监测到国外安全厂商发布了NetLogon 权限提升漏洞(CVE-2020-1472)的详细技术分析文章和验证脚本。此漏洞是微软8月份发布安全公告披露的紧急漏洞，CVSS漏洞评分10分，漏洞利用后果严重，未经身份认证的攻击者可通过使用 Netlogon 远程协议(MS-NRPC)连接域控制器来利用此漏洞。成功利用此漏洞的攻击者可获得域管理员访问权限。相关EXP已经出现。可以直接用于攻击。影响巨大。奇安信CERT强烈建议受影响用户及时更新补丁，做好相应防护。

CVE编号	风险等级	漏洞名称	利用可能
CVE-2020-1472	紧急	NetLogon权限提升漏洞	Y/N/M/M

注：“利用可能”字段包含四个维度(是否公开[Y/N]/是否在野利用[Y/N]/最新版本可利用性[D/M/L/U/NA]/历史版本可利用性[D/M/L/U/NA])

简写	定义	翻译
Y	Yes	是
N	No	否
D	0-Exploitation   detected	0-检测到利用
M	1-Exploitation   more likely *	1-被利用可能性极大
L	2-Exploitation   less likely **	2-被利用可能性一般
U	3-Exploitation   unlikely ***	3-被利用可能性很小
NA	4-N/A	4-不适用

• 漏洞描述

Netlogon是在活动目录中比较重要的一个服务，此服务在DC和域成员服务器上运行，为域身份验证提供重要服务。

近日，奇安信CERT监测到国外安全厂商发布了NetLogon 权限提升漏洞(CVE-2020-1472)的详细技术分析文章和验证脚本。此漏洞是微软8月份发布安全公告披露的紧急漏洞，CVSS漏洞评分10分，漏洞利用后果严重，未经身份认证的攻击者可通过使用 Netlogon 远程协议(MS-NRPC)连接域控制器来利用此漏洞。成功利用此漏洞的攻击者可获得域管理员访问权限。该漏洞影响几乎全版本的Windows Server，相关EXP已经出现。可以直接使用。经奇安信CERT测试，使用相关EXP可以成功重置域控机器账户密码获得域控权限。直接影响企业业务和生产。奇安信CERT强烈建议受影响用户及时更新补丁，做好相应防护。

奇安信CERT第一时间复现了CVE-2020-1472漏洞，复现截图如下：

漏洞时间线：

·      2020年8月11日，在微软补丁日当天，修复了一个紧急漏洞：NetLogon权限提升漏洞(CVE-2020-1472)。

·      2020年9月14日晚，国外安全厂商发布了NetLogon 权限提升漏洞(CVE-2020-1472)的详细技术分析文章和验证脚本。

·      2020年9月15日凌晨，国外网站上有该漏洞的疑似EXP流出。

·      2020年9月15日早上，奇安信CERT成功复现漏洞并证实漏洞实际危害巨大。

• 风险等级

奇安信 CERT风险评级为：高危

风险等级：蓝色(一般事件)

• 影响范围

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Coreinstallation)

Windows Server 2012

Windows Server 2012 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 R2 (Server Core installation)

Windows Server 2016

Windows Server 2016  (Server Core installation)

Windows Server 2019

Windows Server 2019  (Server Core installation)

Windows Server, version 1903 (Server Core installation)

Windows Server, version 1909 (Server Core installation)

Windows Server, version 2004 (Server Core installation)

• 处置建议

使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞，也可以通过奇安信天擎客户端一键更新修补相关漏洞。

也可以采用以下官方解决方案及缓解方案来防护此漏洞：

Windows自动更新

Windows系统默认启用 Microsoft Update，当检测到可用更新时，将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新：

1、点击“开始菜单”或按Windows快捷键，点击进入“设置”

2、选择“更新和安全”，进入“Windows更新”(Windows8、Windows 8.1、Windows Server2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，步骤为“控制面板”-> “系统和安全”->“Windows更新”)

3、选择“检查更新”，等待系统将自动检查并下载可用更新

4、重启计算机，安装更新

系统重新启动后，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

手动安装补丁

另外，对于不能自动更新的系统版本(如Windows 7、WindowsServer 2008、Windows Server 2008 R2)，可参考以下链接下载适用于该系统的8月补丁并安装：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472

DC上开启强制模式

详细配置参考微软官方文档

《如何管理与 CVE-2020-1472 相关联的Netlogon 安全频道连接中的更改》

https://support.microsoft.com/zh-cn/help/4557222/how-to-manage-the-changes-in-netlogon-secure-channel-connections-assoc

• 技术分析

漏洞简介：

CVE-2020-1472是一个Windows域控中严重的远程权限提升漏洞。它是因为微软在Netlogon协议中没有正确使用加密算法而导致的漏洞。由于微软在进行AES加密运算过程中，使用了AES-CFB8模式并且错误的将IV设置为全零，这使得攻击者在明文(client challenge)、IV等要素可控的情况下，存在较高概率使得产生的密文为全零。下面就整个攻击过程做一个简要分析。

漏洞原理：

Netlogon协议是微软提供的一套域访问认证协议，不同于大部分rpc服务，该协议使用的并不是典型的微软认证方式如NTLM\Kerberos，该协议的通信流程如下：

图1-1中攻击者可控的因素有client challenge,攻击者将它设置为全0，server challenge在每一轮认证过程中都会变化，secret对应于用户密码的hash，Encrypt的过程采用的是AES-CFB8，其运算过程如下：

在图1-2中，黄色部分内容即为IV,微软错误的将其设置为全0，而实际上为了保证AES算法的可靠性该部分内容应该随机生成，黄色部分后紧接着的蓝色部分为明文，对应于client challenge,该部分内容攻击者可控，设置为全0，AES使用的key是将secret、challenges进行运算后得到的值，也就是说，key会随着每一轮server challenge的变化发生变化，那么如果IV和client challenge为全0的话，那么整个AES运算过程变成图1-3所示：

如图1-3所示，在第一轮AES运算过程中，密文(黑色部分)第一个字节为0的概率是1/256，这是因为一个字节有8位，全为0的概率是1/256，那么由这运算得到的密文第一个字节0x0和IV以及后面全0的clientchallenge计算后得到的新一轮”明文”依旧为全0，同样进行AES运算，由于第二轮运算时明文 密钥和第一轮都一致，那么这一轮所产生的密文第一个字节也同样时0，接下来几轮计算原理以此类推，所以每一次连接都是由1/256的概率产生一个全0的密文，最理想的情况即是256次就一定能完成碰撞。因此Client challenge设置全0后，客户端凭据(8字节)通过验证的概率就从1/2^64提高到了1/256。

通过上述碰撞方法，攻击者便完成了域身份认证，在接下来的攻击过程用类似的方法也bypass了对call的校验，最后通过相关调用完成对域控密码的修改。值得注意的是由于整个碰撞过程中sessionkey一直是未知的，攻击者可以通过NetrServerAuthenticate3设置合适的flag使得剩下的通信过程不使用session key进行加密。

一言以蔽之，Netlogon协议身份认证采用了挑战-响应机制，其中加密算法是AES-CFB8，并且IV默认全零，导致了该漏洞产生。又因为认证次数没做限制，签名功能客户端默认可选，使得漏洞顺利被利用。

漏洞验证：

1．无法获取域内用户凭据信息

2．执行PoC测试

3. 可以看到DC01的密码置空，然后获取域内凭据信息

• 产品线解决方案

奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本可通过更新入侵防御规则库2020.09.15版本，支持对CVE-2020-1472微软NetLogon权限提升漏洞的防护，当前规则正在测试中，将于9月15日发布，届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

奇安信网神统一服务器安全管理平台可通过更新入侵防御规则库10295版本，支持对CVE-2020-1472微软NetLogon权限提升漏洞的防护，当前规则正在测试中，将于9月15日发布，届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击，请将规则版本升级到3.0.0915.12348或以上版本。规则ID及规则名称：0x5b4f，MicrosoftWindows NetLogon权限提升漏洞(CVE-2020-1472); 奇安信天眼流量探针规则升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS3000/5000/9000系列)产品，已具备该漏洞的检测能力。规则ID为：51553，建议用户尽快升级检测规则库至2009121811以后版本并启用该检测规则。

奇安信网神天堤防火墙产品防护方案

奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列，已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2009150900” 及以上版本并启用规则ID: 1221701进行检测防御。

奇安信天擎检测并修复补丁方案

天擎终端安全管理系统在8月发布了该漏洞补丁，补丁库版本号2020.08.24.1。

建议将补丁库升级到2020.08.24.1以上版本，并对终端执行“扫描”-“修复”补丁。

• 参考资料

  [1]https://www.secura.com/pathtoimg.php?id=2055

• 时间线

  2020年9月15日，奇安信 CERT发布安全风险通告

2020年9月15日，奇安信 CERT发布安全风险通告第二次更新2020年9月16日，奇安信 CERT发布安全风险通告第三次更新

HSnetwork----你的私人网络安全通报中心！

资料来源网络，HSnetwork整理；希望对你有所帮助！