情資內容

9/24更新建議措施(1) 一、漏洞說明[1] 當攻擊者可使用 Netlogon 遠端通訊協定 (MS-NRPC)，對網域控制站建立易受攻擊的 Netlogon 安全通道連線時，即存在權限提高漏洞。一旦攻擊得逞，攻擊者將能在網路的裝置上執行蓄意製作的應用程式。 為了利用漏洞，未驗證的攻擊者必須使用 MS-NRPC 才能連線至網域控制站，以取得網域系統管理員存取權。 Microsoft 分成 2 階段推出解決此漏洞的更新。這些更新會修改 Netlogon 處理安全通道的使用方式，進而解決此漏洞。 二、已揭露攻擊程式碼說明[2][3] 安全廠商Secura研究人員於GitHub公布概念驗證（POC）攻擊程式，供企業驗證其網域控制器是否曝險。。 三、影響平台:[1] Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2012 Windows Server 2012 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 R2 (Server Core installation) Windows Server 2016 Windows Server 2016 (Server Core installation) Windows Server 2019 Windows Server 2019 (Server Core installation) Windows Server, version 1903 (Server Core installation) Windows Server, version 1909 (Server Core installation) Windows Server, version 2004 (Server Core installation 四、CVSS向量: CVE-2020-1472[1] 使用版本：CVSS 3.1 分析分數：10 影響等級:3 參考來源 :MIcrosoft 五、建議措施: 1.Microsoft 會分階段推出解決此漏洞的更新[1] (1)初始部署階段於2020年8月11日發行Windows安全更新。網域控制站(DC)更新後，預設會啟用保護Windows裝置功能，記錄發現不相容裝置的事件，並為所有加入網域的裝置啟用保護功能(可設定例外排除)。 (2)第二階段計劃於2021年第1季發行修正版本，將轉換標示為強制階段。DC 將會置於強置模式，要求所有Windows與非Windows裝置使用安全遠端程序呼叫(RPC)搭配Netlogon安全通道，或為任何不相容的裝置新增例外狀況以明確允許使用者執行此功能。 2.進行測試[3] 會員可於GitHub下載概念驗證程式，驗證網域伺服器是否已修正完成。 參考連結： 1.Microsoft https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472 2.ITHome https://www.ithome.com.tw/news/140014 3. GitHub https://github.com/SecuraBV/CVE-2020-1472 建議措施： 參考資料： 影響平台：