攻击利用Netlogon漏洞（CVE-2020-1472） | MSRC博客

微软已收到少量来自客户及其他方的报告，称持续有活动利用影响Netlogon协议的漏洞（CVE-2020-1472），该漏洞已于2020年8月11日起通过安全更新得到修复。如果未遵循原始指导，此漏洞可能允许攻击者伪造域控制器账户，从而窃取域凭证并接管域。

部署2020年8月11日或之后发布的安全更新至每个域控制器，是解决此漏洞最关键的第一步。一旦完全部署，Active Directory域控制器和信任账户将与Windows域加入的机器账户一同受到保护。我们强烈建议尚未应用更新的用户立即执行此步骤。客户需要同时应用更新并遵循KB4557222中描述的原始指导，以确保完全防护此漏洞。我们已更新8月原始指导中的常见问题解答（FAQ），以提供更清晰的说明。

更新：使用2020年8月11日或之后发布的更新更新域控制器。
查找：通过监控事件日志查找哪些设备正在建立易受攻击的连接。
解决：处理建立易受攻击连接的不合规设备。
启用：在环境中启用强制执行模式以解决CVE-2020-1472。

部署Microsoft Defender for Identity（前身为Azure高级威胁防护）或Microsoft 365 Defender（前身为Microsoft威胁防护）的组织能够检测攻击者尝试针对其域控制器利用此特定漏洞的行为。

最后，我们已向相关政府机构强调了之前的指导。例如，我们联系了网络安全和基础设施安全局（CISA），该局已发布额外警报，提醒州和地方机构（包括参与美国选举的机构）应用解决此漏洞所需的步骤。

Aanchal Gupta
工程副总裁，MSRC

受影响版本：

• Windows Server 2008 R2 Service Pack 1
• Windows Server 2012
• Windows Server 2012 R2
• Windows Server 2016
• Windows Server 2019所有版本
• Windows Server版本1809（Datacenter）
• Windows Server版本1903所有版本
• Windows Server版本1909所有版本