安全通告
首页技术支持 安全通告

通告|“NetLogon特权提升漏洞CVE-2020-1472”天融信入侵防御产品、僵木蠕产品可遏制

发布时间:2020-09-17查看次数:3893
分享到


NetLogon特权提升漏洞(CVE-2020-1472)是微软在2020811日发布的安全更新通告中,针对Windows域控制服务器的远程权限提升漏洞,该漏洞危险级别为严重等级,攻击者利用此漏洞无须身份验证即可获取域控制器的管理员权限。被攻击设备将运行经特殊设计的应用程序,造成严重信息泄露和经济损失。

影响范围:Microsoft Windows Server 2008 R2 SP1Windows Server 2012Windows Server 2012 R2Windows Server 2016Windows Server 2019Windows Server 1903Windows Server 1909Windows Server 2004相关系统版本。

一、NetLogon特权提升漏洞情况分析

·该漏洞由于微软在Netlogon协议使用AES-CFB8加密算法时错误的将初始化向量IV默认全部为零,导致该漏洞产生。

·该漏洞因未对管理员远程认证次数做限制,签名功能客户端默认可选而导致漏洞直接被利用。

·攻击者通过Netlogon远程协议(MS-NRPC)建立网络连接,利用该漏洞完成域身份认证获取管理员访问权限,通过相关调用即可完成对域控操作,造成数据泄露。

二、防护建议

天融信入侵防御系统产品(TopIDP)、天融信僵尸网络木马和蠕虫监测与处置系统产品(TopTVD)具备攻击检测能力,能够对目前利用NetLogon特权提升漏洞的攻击行为进行有效的检测与防御,需要及时升级v2020.09.16版本的攻击检测规则库。

已购买我司两款产品的客户,如果产品可以连接互联网可通过自动更新的方式自动升级攻击检测规则库进行有效检测和防护;如果产品不能连接互联网,可以通过指定的用户名和密码登陆天融信公司FTP服务器下载并手动升级攻击检测规则库进行有效检测和防护。

1、攻击检测规则库自动更新:

·天融信入侵防御系统产品(TopIDP),规则TID29546,攻击检测规则库版本号:ips-v2020.09.16

undefined

·天融信僵尸网络木马和蠕虫监测与处置系统产品(TopTVD),规则TID29546,攻击检测规则库版本号:ngips-v2020.09.16.019

undefined

2、攻击检测规则库手动更新:

天融信入侵防御系统产品(TopIDP)获取攻击检测规则库方式:

·规则TID29546,攻击检测规则库版本号:ips-v2020.09.16

·攻击检测规则库下载地址:ftp://ftp.topsec.com.cn/入侵防御(TOPIDP/规则库升级/ips-v2020.09.16.tir

天融信僵尸网络木马和蠕虫监测与处置系统产品(TopTVD)获取攻击检测规则库方式:

·规则TID29546,攻击检测规则库版本号:ngips-v2020.09.16.019

·攻击检测规则库下载地址:ftp://ftp.topsec.com.cn/天融信下一代入侵防御系统(NGIDP)/攻击检测规则库/ngips-v2020.09.16.019.tor

3、下载微软官方对应补丁更新,更新地址:

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2020-1472

三、检测效果

天融信入侵防御系统产品(TopIDP

undefined

天融信僵尸网络木马和蠕虫监测与处置系统产品(TopTVD

undefined

四、产品咨询

通过登陆天融信官网查询了解天融信入侵防御系统产品、天融信僵尸网络木马和蠕虫监测与处置系统产品,也可拨打客服热线400-777-0777进行产品咨询。