内网渗透(六十四)之CVE-2020-1472 NetLogon 权限提升漏洞

CVE-2020-1472 NetLogon 权限提升漏洞

漏洞背景

在2020年8月份微软发布的安全公告中，有一个十分紧急的漏洞——CVE-2020-1472 NetLogon 权限提升漏洞。通过该漏洞，未经身份验证的攻击者只需要能访问域控的135端口即可通过 NetLogon 远程协议连接域控并重置域控机器的Hash，从而导致攻击者可以利用域控的机器账户导出域内所有用户的Hash（域控的机器账户默认具有DCSync权限），进而接管整个域。该漏洞存在的原因是Netlogon协议认证的加密模块存在缺陷，导致攻击者可以在没有凭据的情况下通过认证。通过认证后，调用NetLogon协议中RPC函数NetrServerPasswordSet2 来重置域控机器账户的 Hash，从而接管全域。

漏洞原理

该漏洞由Secura的安全研究员Tom Tervoort以及国内安全研究员彭峙酿、李雪峰发现。 Tom Tervoort 发布了关于该漏洞的详细原理和利用方式的白皮书，并将其名为ZeroLogon。下面分析NetLogon服务运行的流程和造成该漏洞的原因。

1、NetLogon服务

NetLogon服务为域内的身份验证提供一个安全通道，在被用于执行与域用户和机器身份验证相关的各种任务，最常见的是让用户使用NTLM协议登陆服务器。默认情况下，Netlogon 服务在域内所有机器后台运行，该服务的可执行文件路径为 C:\Windows\system32\lsass.exe,如图所示：