2020年8月份微软发布了一个Netlogon 相关补丁的提醒, 很多人没有关注. 直到9月份针对该漏洞的PoC出来才大呼震惊, 原来该漏洞可以让黑客只需要一个TCP连接就可以轻易提权接管整个Windows 域包括域管理员密码. 这个漏洞, 官方命名 CVE-2020-1472, 俗名 zerologon.
什么是Net Logon (MS-NRPC)?
接触过Windows服务器端的同学应该知道, 该服务是域安全通道接口, 基于微软RPC, 用于确保域内/跨域 信息交互的安全性, 比如域NTP时间同步, 域账户计算机密码更新, 域用户验证等活动. 它包含一个认证方法和Netlogon 安全通道建立方法. 有兴趣朋友移步 https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-nrpc/ff8f970f-3e37-40f7-bd4b-af7336e4792f; 了解更多
漏洞简介:
对原文做梳理后,我理解的漏洞来源于以下几点:
-
域计算机账户有密码, 允许设置全0的计算机账户密码 <NetrServerPasswordSet2>;
-
当前Netlogon 通道加密和签名可以禁用 <Seal and Sign>
-
AES CFB8的漏洞 : ComputeNetLogonCredential 功能使用的AES CFB8 模式 initialisation Vector 设置16字节为0,而不是随机, 而且 通过CFB8 加密模式 有1/256 概率 用8字节全0 明文可以得到8字节全0密文;
-
Netlogon 握手期间, 客户端和服务器端都发送challenge <8字节> 拼成16字节作为计算session key的元素, 客户端提供的client challenge可以指定为全0;
-
计算机密码认证没有锁定机制. 可以重复尝试;
基于以上几点组合, 黑客一旦拿到TCP连接, 就可以向域发起Netlogon 计算机账户认证请求, 使用8字节全0 client challenge 不断尝试得到一个正确的8字节全0 client credential 通过认证.
虽然这个时候 session key 仍然未知, 但因Sign/Seal 可以跳过, 意味着这时黑客和域的通道已经打开了. NetrServerPasswordSet2 允许将计算机密码设置为全0 <516字节长度>. 意味着黑客可以代替任何域内计算机角色设置空密码,包括域控本身.
具体细节可以参考 https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/hijacking-a-domain-controller-with-netlogon-rpc-aka-zerologon-cve-2020-1472/
PoC 在github上也有了不同版本, 建议大家及早安装Windows 更新, 避免这个风险 : https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472
作为好人,PoC链接我就不放了, 虽然上面的链接里已经有了。留给有心人去发掘吧;
扫一扫
3773
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
