利用Netlogon漏洞攻击(CVE-2020-1472)
微软已收到少量来自客户及其他方的报告,称持续存在利用影响Netlogon协议漏洞(CVE-2020-1472)的活动,该漏洞已于2020年8月11日发布的安全更新中修复。如果未遵循原始指导,攻击者可能利用此漏洞伪造域控制器账户,窃取域凭据并接管域。
部署2020年8月11日或之后发布的安全更新至每个域控制器,是解决此漏洞最关键的第一步。完全部署后,Active Directory域控制器和信任账户将与Windows域加入的机器账户一同受到保护。我们强烈建议尚未应用更新的用户立即执行此步骤。客户需要同时应用更新并遵循KB4557222中描述的原始指导,以确保完全防护此漏洞。我们已更新8月原始指导中的常见问题解答,以提供更清晰的说明。
关键步骤:
- 更新:使用2020年8月11日或之后发布的更新升级域控制器。
- 查找:通过监控事件日志识别哪些设备正在建立易受攻击的连接。
- 处理:解决建立易受攻击连接的不合规设备。
- 启用:在环境中启用强制执行模式以应对CVE-2020-1472。
部署Microsoft Defender for Identity(前身为Azure高级威胁防护)或Microsoft 365 Defender(前身为Microsoft威胁防护)的组织能够检测攻击者尝试针对其域控制器利用此特定漏洞的行为。
最后,我们已向相关政府机构强调了之前的指导。例如,我们联系了网络安全和基础设施安全局(CISA),该机构已发布额外警报,提醒州和地方机构(包括参与美国选举的机构)应用必要步骤解决此漏洞。
Aanchal Gupta
工程副总裁,MSRC
受影响版本:
- Active Directory
- Windows Server 2008 R2 Service Pack 1
- Windows Server 2012
- Windows Server 2012 R2
- Windows Server 2016
- Windows Server 2019所有版本
- Windows Server版本1809(数据中心版)
- Windows Server版本1903所有版本
- Windows Server版本1909所有版本