Уязвимость повышенного уровня доступа в Netlogon из-за некорректного установления защищенного канала связи с помощью Netlogon Remote Protocol
Описание
Уязвимость повышенного уровня доступа существует, когда злоумышленник устанавливает уязвимое защищенное соединение Netlogon с контроллером домена, используя протокол Netlogon Remote Protocol (MS-NRPC). Злоумышленник, успешно эксплуатировавший эту уязвимость, способен запускать специализированные приложения на устройстве в сети.
Условия эксплуатации
Для эксплуатации уязвимости неавторизованному злоумышленнику требуется использовать MS-NRPC для подключения к контроллеру домена с целью получения доступа на уровне администратора домена.
Решение
Microsoft устраняет уязвимость в два этапа. Эти обновления устраняют уязвимость, модифицируя обработку защищенных каналов Netlogon. Для получения рекомендаций по управлению изменениями, связанными с этой уязвимостью, и получения информации о поэтапном выпуске, см. Как управлять изменениями в подключении защищенного канала Netlogon, связанными с CVE-2020-1472.
Когда второй этап обновлений Windows станет доступен в Q1 2021 года, клиенты будут уведомлены о пересмотре этой уязвимости безопасности. Чтобы получать уведомления о выходе этих обновлений, рекомендуется зарегистрироваться для получения уведомлений о безопасности и изменений в этом консультативном документе. См. Уведомления о безопасности Microsoft Technical Security.
Часто задаваемые вопросы (FAQ)
Мне нужно предпринять дополнительные шаги для защиты от этой уязвимости?
Да. Установка обновлений от 11 августа 2020 года на контроллеры домена защищает учетные записи машин на базе Windows, учетные записи доверия и учетные записи контроллеров домена. Учетные записи машин, присоединенных к домену устройства сторонних производителей, не защищены до внедрения режима принудительного выполнения.
Если я установлю обновления и не предприму дальнейших действий, каков будет эффект?
Во время начальной фазы внедрения начиная с обновлений, выпущенных 11 августа 2020 года или позднее, обновления могут быть установлены без дополнительных действий, и устройства Windows и Контроллеры Домена (DCs) будут защищены от этой уязвимости. Устройства сторонних производителей смогут устанавливать уязвимые соединения, что может позволить атаки до включения режима принудительного выполнения. Организациям потребуется мониторить и устранять возможные проблемы до фазы принудительного выполнения DCs в Q1 2021 года или рискуют потерять доступ к устройствам.
Как Microsoft планирует устранить эту уязвимость?
Microsoft устраняет эту уязвимость в два этапа. Начальная фаза внедрения начинается с обновлений Windows, выпущенных 11 августа 2020 года. Обновления позволяют Контроллерам Домена защищать устройства Windows по умолчанию, фиксировать события для устройства, не соответствующие стандартам, и имеют опцию включения защиты для всех устройств, присоединенных к домену, с явными исключениями.
Что такое несоответствующее устройство?
Несоответствующее устройство - это такое, которое использует уязвимое соединение защищенного канала Netlogon.
Почему внедрение осуществляется поэтапно?
Существует множество внедрений протокола Netlogon Remote Protocol на устройствах, не работающих под управлением Windows. Чтобы гарантировать, что поставщики несоответствующих внедрений могут предоставить клиентам обновления, во втором релизе, запланированном на Q1 2021 года, будет обеспечена защита всех устройств, присоединенных к домену.
Почему я должен следовать рекомендациям из Как управлять изменениями в подключении защищенного канала Netlogon, связанными с CVE-2020-1472?
Если рекомендации из статьи KB не будут соблюдены, ваша организация рискует отказом в доступе к устройствам в вашей среде, когда начнется фаза принудительного выполнения в Q1 2021 года.
Как я могу быть уведомлен, когда второй релиз будет доступен в Q1 2021 года?
Когда второй этап обновлений Windows станет доступен, клиенты будут уведомлены о пересмотре этой уязвимости безопасности. Чтобы получать уведомления о выходе этих обновлений, рекомендуется зарегистрироваться для получения уведомлений о безопасности.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 | ||
| Windows Server 2012 | ||
| Windows Server 2012 (Server Core installation) | ||
| Windows Server 2012 R2 | ||
| Windows Server 2012 R2 (Server Core installation) | ||
| Windows Server 2016 | ||
| Windows Server 2016 (Server Core installation) | ||
| Windows Server 2019 | ||
| Windows Server 2019 (Server Core installation) |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
DOS
EPSS
10 Critical
CVSS3
Связанные уязвимости
An elevation of privilege vulnerability exists when an attacker establishes a vulnerable Netlogon secure channel connection to a domain controller, using the Netlogon Remote Protocol (MS-NRPC). An attacker who successfully exploited the vulnerability could run a specially crafted application on a device on the network. To exploit the vulnerability, an unauthenticated attacker would be required to use MS-NRPC to connect to a domain controller to obtain domain administrator access. Microsoft is addressing the vulnerability in a phased two-part rollout. These updates address the vulnerability by modifying how Netlogon handles the usage of Netlogon secure channels. For guidelines on how to manage the changes required for this vulnerability and more information on the phased rollout, see How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472 (updated September 28, 2020). When the second phase of Windows updates become available in Q1 2021, customer...
An elevation of privilege vulnerability exists when an attacker establishes a vulnerable Netlogon secure channel connection to a domain controller, using the Netlogon Remote Protocol (MS-NRPC). An attacker who successfully exploited the vulnerability could run a specially crafted application on a device on the network. To exploit the vulnerability, an unauthenticated attacker would be required to use MS-NRPC to connect to a domain controller to obtain domain administrator access. Microsoft is addressing the vulnerability in a phased two-part rollout. These updates address the vulnerability by modifying how Netlogon handles the usage of Netlogon secure channels. For guidelines on how to manage the changes required for this vulnerability and more information on the phased rollout, see How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472 (updated September 28, 2020). When the second phase of Windows updates become available in Q1 2021, custome...
An elevation of privilege vulnerability exists when an attacker establishes a vulnerable Netlogon secure channel connection to a domain controller, using the Netlogon Remote Protocol (MS-NRPC). An attacker who successfully exploited the vulnerability could run a specially crafted application on a device on the network. To exploit the vulnerability, an unauthenticated attacker would be required to use MS-NRPC to connect to a domain controller to obtain domain administrator access. Microsoft is addressing the vulnerability in a phased two-part rollout. These updates address the vulnerability by modifying how Netlogon handles the usage of Netlogon secure channels. For guidelines on how to manage the changes required for this vulnerability and more information on the phased rollout, see How to manage the changes in Netlogon secure channel connections associated with CVE-2020-1472 (updated September 28, 2020). When the second phase of Windows updates become available in Q1 2021, customers
An elevation of privilege vulnerability exists when an attacker establ ...
EPSS
10 Critical
CVSS3