Microsoft發佈Netlogon遠端執行程式碼漏洞的第二階段緩解措施

風險等級: 高度威脅
摘 要: 弱點通告:
Microsoft發佈Netlogon遠端執行程式碼漏洞的第二階段緩解措施,建議請管理者儘速評估更新,以降低受駭風險!
影響系統:
  • Windows Server
  • version 20H2 (Server Core Installation)
  • Windows Server 2012 (Server Core installation/ GUI
    installation)
  • Windows Server 2012 R2 (Server Core installation/ GUI
    installation)
  • Windows Server 2016 (Server Core installation/ GUI
    installation)
  • Windows Server 2019 (Server Core installation/ GUI
    installation)
  • Windows Server (version 1903) (Server Core installation)
  • Windows Server (version 1909) (Server Core installation)
  • Windows Server (version 2004) (Server Core installation)
解決辦法: 建議措施:
(1)請參考 Microsoft 官方說明(https://portal.msrc.microsoft.com/en-US/security-
guidance/advisory/CVE-2020-1472),該弱點分為兩階段皆已釋出更新。
(2)另外可參考中華的 AI 巡檢包(https://www.chtsecurity.com/service/m306),測試可完整檢測弱點 CVE-2020-1472 駭侵行為。
細節描述: 攻擊者使用Netlogon遠端協議(MS-NRPC)建立與網域控制器的易受攻擊的Netlogon安全通道連接時,將存在特權提升漏洞。成功利用此漏洞的攻擊者可以在網路上的設備上運行惡意的應用程式。
要利用此漏洞,將需要未經身份驗證的攻擊者使用MS-NRPC連接到網域控制器以獲得網域管理員存取權限。這些更新通過修改Netlogon安全通道的方式來解決該漏洞。
參考
資訊:
US-CERT
Microsoft (CVE-2020-1472)
AI巡檢包 (CHT Security)