none
CVE-2020-1472 | Netlogon 特权提升漏洞 RRS feed

  • 问题

  • 【背景描述】:

    1、CVE-2020-1472 | Netlogon 特权提升漏洞的相关信息如下:

    https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2020-1472?ranMID=24542&ranEAID=je6NUbpObpQ&ranSiteID=je6NUbpObpQ-ATGlkn7IRP5MlIl9VooQ3w&epi=je6NUbpObpQ-ATGlkn7IRP5MlIl9VooQ3w&irgwc=1&OCID=AID2000142_aff_7593_1243925&tduid=(ir__wkkarnyvq0kftzkokk0sohzibu2xi6nzgyzwokhx00)(7593)(1243925)(je6NUbpObpQ-ATGlkn7IRP5MlIl9VooQ3w)()&irclickid=_wkkarnyvq0kftzkokk0sohzibu2xi6nzgyzwokhx00

    2、更新下载链接如下:https://support.microsoft.com/en-us/help/894199/software-update-services-and-windows-server-update-services-2020

    3、域控操作系统版本:Microsoft Windows Server 2016 Datacenter 10.0.14393 暂缺 Build 14393,

    【诉求】CVE-2020-1472 | Netlogon 特权提升漏洞,对域控的影响以及应对措施是怎么样的?

    看报道说,域控如果打该漏洞补丁后,Netlogon的认证方式会发生变化,终端需提前打相应的补丁,否则域控打后,普通PC无法登录认证

    那么影响:

    XP/2003系统:没相应的补丁,要么退域,要么升级操作系统

    WIn7/2008系统:如果没有购买ESU,离线无法安装,强制也无法安装成功

    win10/win2012/2016系统:不受影响,WSUS 推送补丁KB4571694即可

    (1)Initial Deployment Phase

    2020811日及之后的更新属于该阶段。Windows相关设备将被强制使用secure RPC,非Windows DC将被强制使用secure RPC,包含新的Event ID以记录相关事件。

      1. Event ID 5827, 5828:记录被拒绝的连接。
      2. Event ID 5829:记录非Windows设备使用vulnerable RPC连接到DC的事件。这些事件应该在Enforcement Phase前被解决。
      3. Event ID 5830, 5831:记录被组策略允许的连接。

    (2)Enforcement Phase 202129日及之后的更新属于该阶段。非Windows设备将被强制使用secure RPCEvent ID变更。

      1. Event ID 5829被移除,非Windows设备使用vulnerable RPC连接到DC被禁止,事件记录为Event ID 5827, 5828

    二、【应对措施】:=》诉求:请查看应对措施分析是否有遗漏和错误?
    1、XP/2003 已经终止且无更新,要么升级操作系统,要么退域;
    2、WIN7/2008:
    =》生命周期已经停止,只能购买ESU服务获得扩展更新,
    =》要么升级操作系统
    无购买ESU服务,即使有离线补丁,下载也无法推送成功
    3、win10/2012/2016:通过正常的Wsus 推送或离线下载安装即可
    提醒注意:域控打算升级补丁,临时让终端通过原来旧的认证方式,依然有提权风险

    2020年9月25日 0:26

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据我的理解,CVE-2020-1472这个补丁只需要在AD林里的所有域控制器(包括Windows的域控制器RWDC和RODC,非Windows的域控制器RWDC和RODC)上安装。
    安装好了以后默认情况下,已完全更新的受支持Windows版本不应使用易受攻击的Netlogon安全通道连接。

    对于您以下的措施是正确的,如果这些设备被拒绝的话,临时的解决方法就是把设备账号添加到组策略里,使得易受攻击的连接可以正常连接而不会被拒绝。那么可以慢慢的规划将已经不受微软支持的旧版本的客户端和服务器逐渐替换成受微软支持的高版本。

    1、XP/2003 已经终止且无更新,要么升级操作系统,要么退域;
    2、WIN7/2008:
    =》生命周期已经停止,只能购买ESU服务获得扩展更新,
    =》要么升级操作系统
    无购买ESU服务,即使有离线补丁,下载也无法推送成功


    微软的提示:
    1.通过组策略允许DC将易受攻击的连接用于信任帐户,将使林易受攻击。
    2.通过组策略允许设备帐户使用易受攻击的连接将使这些AD帐户面临风险。
    3.最终目标应该是解决该组策略中的所有帐户并将其删除。

    希望上述的回复对您有帮助。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年9月25日 2:54
    版主
  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据我的理解,CVE-2020-1472这个补丁只需要在AD林里的所有域控制器(包括Windows的域控制器RWDC和RODC,非Windows的域控制器RWDC和RODC)上安装。
    安装好了以后默认情况下,已完全更新的受支持Windows版本不应使用易受攻击的Netlogon安全通道连接。

    对于您以下的措施是正确的,如果这些设备被拒绝的话,临时的解决方法就是把设备账号添加到组策略里,使得易受攻击的连接可以正常连接而不会被拒绝。那么可以慢慢的规划将已经不受微软支持的旧版本的客户端和服务器逐渐替换成受微软支持的高版本。

    1、XP/2003 已经终止且无更新,要么升级操作系统,要么退域;
    2、WIN7/2008:
    =》生命周期已经停止,只能购买ESU服务获得扩展更新,
    =》要么升级操作系统
    无购买ESU服务,即使有离线补丁,下载也无法推送成功


    微软的提示:
    1.通过组策略允许DC将易受攻击的连接用于信任帐户,将使林易受攻击。
    2.通过组策略允许设备帐户使用易受攻击的连接将使这些AD帐户面临风险。
    3.最终目标应该是解决该组策略中的所有帐户并将其删除。

    希望上述的回复对您有帮助。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    感谢你的回复

    微软的提示:
    1.通过组策略允许DC将易受攻击的连接用于信任帐户,将使林易受攻击。
    2.通过组策略允许设备帐户使用易受攻击的连接将使这些AD帐户面临风险。
    3.最终目标应该是解决该组策略中的所有帐户并将其删除。

    =》我的理解:

    1、域控打了补丁,临时允许终端不打补丁的机器认证,林和AD域控同样面临特权提升的风险,

    那建议是域控先打补丁,关注拦截事件,把拦截计算机主机名添加组策略信任?

    还是等终端部署OK 后再打补丁?

    2、如下图:第二阶段强制部署,非WIndows信任的机器有哪些?

    2020年9月25日 23:20
  • 尊敬的客户,您好!

    感谢您的回复。

    1、域控打了补丁,临时允许终端不打补丁的机器认证,林和AD域控同样面临特权提升的风险,
    那建议是域控先打补丁,关注拦截事件,把拦截计算机主机名添加组策略信任?
    还是等终端部署OK 后再打补丁?

    回复:这个顺序应该都可以的。如果您确实有不合规的设备,而且一定要用这些设备,域控安装完补丁后,肯定需要识别这些不合规的设备账号并使用组策略允许通信。

    2、如下图:第二阶段强制部署,非Windows信任的机器有哪些?

    回复: 除了安装Windows操作系统的其他的加域的机器(例如:安装苹果系统的机器,Linux系统的机器等等)。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年9月28日 8:12
    版主
  • Windows NetLogon权限提升漏洞(CVE-2020-1472)

    换句话说:Netlogon的补丁不能打,该漏洞如何防止?

    2020年9月30日 0:21
  • 尊敬的客户,您好!

    感谢您的回复。

    KB4577015包含KB4571694,如果安装了KB4571694,应该不会影响组策略的。
    如果安装了KB4577015,KB4571694应该会被自动安装上去。

    我这边实验环境也是2016的DC,安装了这个KB4571694,可以打开组策略的。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年9月30日 11:05
    版主
  • 尊敬的客户,您好!

    感谢您的回复。

    KB4577015包含KB4571694,如果安装了KB4571694,应该不会影响组策略的。
    如果安装了KB4577015,KB4571694应该会被自动安装上去。

    我这边实验环境也是2016的DC,安装了这个KB4571694,可以打开组策略的。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    KB4571694 打了没反应,但是下载“KB4577015”后,可以安装,安装后组策略提示异常:MMC无法初始化

    卸载“KB4577015”后组策略正常打开


    这里有一个相似的案子,KB4577015打后打不开,
    GPMC error for "Security Options" after Updates 2020-09 in Windows Server 2016 Domain Controllers
    https://docs.microsoft.com/en-us/answers/questions/92345/gpmc-error-for-34security-options34-after-updates.html


    • 已编辑 super.ma 2020年10月10日 7:24 增加描述
    2020年10月10日 7:23
  • 尊敬的客户,您好!

    感谢您的回复。

    1、域控打了补丁,临时允许终端不打补丁的机器认证,林和AD域控同样面临特权提升的风险,
    那建议是域控先打补丁,关注拦截事件,把拦截计算机主机名添加组策略信任?
    还是等终端部署OK 后再打补丁?

    回复:这个顺序应该都可以的。如果您确实有不合规的设备,而且一定要用这些设备,域控安装完补丁后,肯定需要识别这些不合规的设备账号并使用组策略允许通信。

    2、如下图:第二阶段强制部署,非Windows信任的机器有哪些?

    回复: 除了安装Windows操作系统的其他的加域的机器(例如:安装苹果系统的机器,Linux系统的机器等等)。



    此致,
    Daisy Zhou

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    CVE-2020-1472 所有域控制器 Windows Server 2016 补丁KB4571694,加域的Win7/2008如果没打补丁,就无法登录认证?
    2020年10月10日 7:28