CVE-2020-1472

Microsoft Netlogon

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft's Netlogon Remote Protocol (MS-NRPC) contains a privilege escalation vulnerability when an attacker establishes a vulnerable Netlogon secure channel connection to a domain controller. An attacker who successfully exploits the vulnerability could run a specially crafted application on a device on the network. The vulnerability is also known under the moniker of Zerologon.

🛡️
Технический анализ и план устранения

Суть уязвимости

Атакующий, находящийся в сети, может установить соединение с контроллером домена по протоколу Netlogon, используя специально сформированные запросы, которые позволяют сбросить пароль компьютерной учетной записи (например, самой учетной записи контроллера домена) на произвольное значение (включая пустое). Это дает возможность: * Получить права администратора домена. * Полностью скомпрометировать контроллер домена и всю доменную инфраструктуру.

Как исправить

Установите обновления безопасности от Microsoft, которые принудительно включают режим принудительного применения для всех контроллеров домена.

  1. Установите обновления на все контроллеры домена (DC):

    • Windows Server 2019/2022: Установите обновление от августа 2020 года или новее. Конкретный номер KB для первоначального исправления: KB4557222.
    • Windows Server 2016: Установите обновление от августа 2020 года или новее. Конкретный номер KB для первоначального исправления: KB4557222.
    • Windows Server 2012 R2: Установите обновление от августа 2020 года или новее. Конкретный номер KB для первоначального исправления: KB4557222.

  2. Включите режим принудительного применения в домене. После установки обновлений на ВСЕ контроллеры домена выполните на любом DC (с правами администратора предприятия): bash nltest /SC_QUERY:<Имя_Вашего_Домена> Убедитесь, что все DC обновлены. Затем включите принудительный режим: bash reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" /v FullSecureChannelProtection /t REG_DWORD /d 1 /f Или с помощью групповой политики: Computer Configuration -> Policies -> Administrative Templates -> System -> Netlogon -> Enable strong cryptography for Netlogon secure channel.

Временное решение

Если немедленная установка обновлений невозможна, ограничьте атаку поверхность.

  1. Ограничьте доступ к портам Netlogon. На сетевом оборудовании (фаервол, ACL) заблокируйте входящие TCP-соединения на порты 445 (SMB) и 135 (RPC) к контроллерам домена для всех IP-адресов, кроме доверенных (другие DC, административные станции). Это критично нарушит функциональность, применяйте с осторожностью.
  2. Используйте детектирование. Запустите официальный скрипт проверки от Microsoft (Test-NetlogonCVE-2020-1472.ps1) или сканер от Secura (CVE-2020-1472) на всех DC для выявления попыток эксплуатации.
  3. Мониторьте события. Включите аудит и отслеживайте в журналах DC (Event ID 4742) подозрительные сбросы паролей компьютерных учетных записей.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей