CVE-2020-1472

简介

CVE-2020-1472是一个windows域控中严重的远程权限提升漏洞,攻击者通过NetLogon,建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。

影响范围

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)

修复建议

Windows server / Windows 检测并开启Windows自动更新流程如下

  • 点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。
  • 点击控制面板页面中的“系统和安全”,进入设置。
  • 在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。
  • 然后进入设置窗口,展开下拉菜单项,选择其中的自动安装更新(推荐)

手动升级方案:

通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。

CVE-2020-1472 | NetLogon 特权提升漏洞

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

检测方法

POC检测

检测脚本下载:https://github.com/Ascotbe/Kernelhub/tree/master/CVE-2020-1472

查看域控主机名:

net group "domain controllers" /domain

检测:

python3 CVE-2020-1472_Scan.py 主机名 IP地址

返回 Success,说明漏洞存在

漏洞扫描

使用Nessus扫描,选择New Scan / Zerologon Remote Scan