Microsoft Netlogon 遠端協定 (MS-NRPC) 存在特權提升弱點

風險等級: 高度威脅
摘  要: 弱點通告:Microsoft Netlogon 遠端協定 (MS-NRPC)
存在特權提升弱點!
影響系統: Windows Server 2008 R2 for x64-based Systems SP1 (Server Core installation/ GUI installation)Windows Server 2012 (Server Core installation/ GUI installation)Windows Server 2012 R2 (Server Core installation/ GUI installation)Windows Server 2016 (Server Core installation/ GUI  installation)Windows Server 2019 (Server Core installation/ GUI installation)Windows Server (version 1903) (Server
Core installation)Windows Server (version 1909) (Server Core installation)Windows Server (version 2004) (Server Core installation)
解決辦法: 請參考 Microsoft 官方說明(https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472),該弱點將分兩階段作釋出修補更新,第一階段已於2020/8/11發佈,第二階段資訊發佈將於2021 Q1(第一季)釋出。除調整網域控制器(Domain Controller),建議注意官網最新更新釋出資訊。
另外可參考中華的 AI 巡檢包(https://www.chtsecurity.com/service/m306),測試可完整檢測弱點CVE-2020-1472 駭侵行為。
細節描述: Microsoft 最新發佈弱點 CVE-2020-1472 (又名Zerologon),位於 Windows Server 中 Active Directory 核心驗證元件 Netlogon 遠端協定(MS-NRPC) 中,可能讓未經授權的攻擊者藉由和網域控制器建立 TCP 連線時,送入偽造的 Netlogon 驗證令符(Verification token) 而登入網域控制器,進而完全取得所有 AD網域內的身份服務,進而可在受影響主機的網域下隨意裝置執行任何惡意程式。
參考資訊: Microsoft (CVE-2020-1472)
iThome
Cybersecurity Directives (Netlogon)
AI巡檢包 (CHT Security)