通告|“NetLogon特权提升漏洞CVE-2020-1472”

NetLogon特权提升漏洞（CVE-2020-1472）是微软在2020年8月11日发布的安全更新通告中，针对Windows域控制服务器的远程权限提升漏洞，该漏洞危险级别为严重等级，攻击者利用此漏洞无须身份验证即可获取域控制器的管理员权限。被攻击设备将运行经特殊设计的应用程序，造成严重信息泄露和经济损失。

影响范围：Microsoft Windows Server 2008 R2 SP1、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019、Windows Server 1903、Windows Server 1909、Windows Server 2004相关系统版本。

一、NetLogon特权提升漏洞情况分析

·该漏洞由于微软在Netlogon协议使用AES-CFB8加密算法时错误的将初始化向量IV默认全部为零，导致该漏洞产生。

·该漏洞因未对管理员远程认证次数做限制，签名功能客户端默认可选而导致漏洞直接被利用。

·攻击者通过Netlogon远程协议(MS-NRPC)建立网络连接，利用该漏洞完成域身份认证获取管理员访问权限，通过相关调用即可完成对域控操作，造成数据泄露。