更新时间:2022-08-23 15:38
漏洞背景
2020年08月12日, 微软官方发布了 NetLogon 特权提升漏洞 的风险通告。攻击者通过NetLogon(MS-NRPC),建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。成功利用此漏洞的攻击者可以在该网络中的设备上运行经特殊设计的应用程序。
Netlogon远程协议是远程过程调用 (RPC) 协议,它在Windows网络上执行与Active Directory身份验证相关的各种功能。例如,它可用于重置机器密码或备份域控制器的用户数据库。然而,最常见的应用是通过NTLM协议促进远程登录。
NTLM协议的目的是允许域用户登录到网络中的远程系统,例如提供文件共享的服务器或Intranet网站。虽然自Windows 2000推出以来该协议已被Kerberos取代,但它仍然被广泛使用和支持。默认情况下,几乎所有支持Kerberos身份验证的Windows服务也允许客户端使用NTLM登录。
漏洞影响范围
- Windows Server 2008 R2 for x64-based Systems Service Pack 1
- Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
- Windows Server 2012
- Windows Server 2012 (Server Core installation)
- Windows Server 2012 R2
- Windows Server 2012 R2 (Server Core installation)
- Windows Server 2016
- Windows Server 2016 (Server Core installation)
- Windows Server 2019
- Windows Server 2019 (Server Core installation)
- Windows Server, version 1903 (Server Core installation)
- Windows Server, version 1909 (Server Core installation)
- Windows Server, version 2004 (Server Core installation)
漏洞等级
高危
规则防护
云防火墙虚拟补丁已支持防护
规则类型
代码执行
修复建议
- 微软官方已发布补丁,找到操作系统版本的漏洞补丁,并进行补丁下载安装,下载链接。