CVE-2020-1472是一个特权提升漏洞,其由于对Netlogon会话使用了不安全的AES-CFB8加密。AES-CFB8标准要求,每个纯文本字节(如密码)都必须具有随机化的初始化向量(IV),以便不能猜测密码。Netlogon中的ComputeNetlogonCredential函数将IV设置为固定的16位,这意味着攻击者可以控制解密的文本。当尝试向域控制器(DC)进行身份验证时,攻击者可以利用此缺陷来模拟网络上任何计算机的身份。然后可能会发生进一步的攻击,包括完全控制 Windows域。此外,攻击者还可以运行Impacket的“secretsdump”脚本从目标域控制器提取用户哈希列表。
解决方案:1.目前微软官方已发布安全更新,建议使用Windows Update进行更新。补丁链接地址:
https://portal.msrc.microsoft.***/zh-CN/security-guidance/advisory/CVE-2020-1472
2.该漏洞可使用安全RPC来解决,详细信息请参考微软官方手册: https://portal.msrc.microsoft.***/zh-CN/security-guidance/advisory/CVE-2020-1472 3.可在 DC 上开启强制模式。