CVE-2020-1472域渗透 NetLogon 权限提升漏洞

一、漏洞描述

• 在2020年8月份微软发布的安全公告中，有一个十分紧急的漏洞CVE-2020-1472 NetLogon 权限提升漏洞。
• 通过该漏洞，未经身份验证的攻击者只需要能访问域控的135端口即可通过 NetLogon 远程协议连接域控并重置域控机器的Hash，从而导致攻击者可以利用域控的机器账户导出域内所有用户的Hash（域控的机器账户默认具有DCSync权限），进而接管整个域。
• 该漏洞存在的原因是Netlogon协议认证的加密模块存在缺陷，导致攻击者可以在没有凭据的情况下通过认证。
• 通过认证后，调用NetLogon协议中RPC函数NetrServerPasswordSet2 来重置域控机器账户的 Hash，从而接管全域。

二、影响版本

Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2012
Windows Server 2012 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 R2 (Server Core installation)
Windows Server 2016
Windows Server 2016 (Server Core installation)
Windows Server 2019
Windows Server 2019 (S