CVE-2020-1472NetLogon权限提升漏洞

漏洞介绍

NetLogon 服务负责域中的身份验证和授权。CVE-2020-1472 漏洞存在于 NetLogon 服务中的签名验证逻辑中。该漏洞允许攻击者将 NTLM 身份验证消息中的签名设置为空，绕过身份验证并以域管理员的身份登录到域控制器。

影响范围

CVE-2020-1472 漏洞影响 Windows Server 2008 R2 SP1 到 Windows Server 2019 的所有版本，以及 Windows 7 SP1 到 Windows 10 20H2 的所有版本。

利用方式

CVE-2020-1472 漏洞可以通过以下方式利用：

1. 攻击者在域内获得一个普通用户的身份。

2. 攻击者使用该用户身份连接到域控制器。

3. 攻击者使用工具修改 NTLM 身份验证消息中的签名。

4. 攻击者使用工具将修改后的身份验证消息中继到域控制器。

详细利用手法

1. 获得普通用户身份

攻击者可以通过以下方式获得普通用户身份：

• 通过钓鱼攻击或社会工程学手段获取用户的凭据。

• 利用已知的漏洞或配置错误，获取用户的凭据。

例如，攻击者可以发送一个包含恶意链接的电子邮件给目标用户。当目标用户点击链接时，会被重定向到一个恶意网站。该网站会要求目标用户输入用户名和密码。攻击者可以通过该网站获取目标用户的凭据。

2. 连接到域控制器

攻击者可以使用任何经过身份验证的域成员来连接到域控制器。攻击者可以使用以下工具来连接到域控制器：

• nmap

• netcat

• telnet

以下命令将连接到域控制器的 445 端口：

3. 修改 NTLM 身份验证消息中的签名

攻击者可以使用以下工具来修改 NTLM 身份验证消息中的签名：

• ntlmrelayx

ntlmrelayx 是一个用于中继 NTLM 身份验证流量的工具。攻击者可以使用 ntlmrelayx 来修改 NTLM 身份验证消息中的签名。

以下命令将修改 NTLM 身份验证消息中的签名：

ntlmrelayx.exe -t <中继服务器 IP 地址> -l <域控制器 IP 地址> -m <攻击者用户名>:<攻击者密码> -c <目标用户名>

4. 将修改后的身份验证消息中继到域控制器

攻击者可以使用以下工具将修改后的身份验证消息中继到域控制器：

• ntlmrelayx

ntlmrelayx 是一个用于中继 NTLM 身份验证流量的工具。攻击者可以使用 ntlmrelayx 来将修改后的身份验证消息中继到域控制器。

以下命令将将修改后的身份验证消息中继到域控制器：

ntlmrelayx.exe -t <中继服务器 IP 地址> -l <域控制器 IP 地址> -m <攻击者用户名>:<攻击者密码> -c <目标用户名> -r <域控制器 IP 地址>

利用效果

如果攻击者成功利用 CVE-2020-1472 漏洞，攻击者将以域管理员的身份登录到域控制器。攻击者可以使用域管理员权限执行任意操作，包括：

• 创建、修改或删除用户和组。

• 安装或卸载软件。

• 修改系统配置。

• 访问敏感数据。

防御措施

微软已发布补丁修复了 CVE-2020-1472 漏洞。建议用户尽快安装补丁。

此外，用户还可以采取以下措施来防范 CVE-2020-1472 漏洞：

• 启用域中所有服务器的强制 SMB 签名。

• 对 LDAP over TLS 强制执行 LDAP 签名和 LDAP 通道绑定。

• 开启 EPA，强制所有 Web 服务器（OWA，ADFS）只接受 EPA 的请求。