Windows Group Policy存在漏洞,攻击者可获取管理员权限
字数 1468 2025-08-15 21:31:05

Windows Group Policy 漏洞 (CVE-2020-1317) 技术分析与防御指南

漏洞概述

CVE编号: CVE-2020-1317
影响范围: Windows Server 2008及之后所有Windows版本
漏洞类型: 本地权限提升(LPE)
发现者: CyberArk安全公司
披露时间: 2019年6月17日
修复时间: 2020年6月补丁日

技术背景

Group Policy Client服务(gpsvc)

  • 以SYSTEM权限运行,拥有管理员级别权限
  • 负责检查并应用来自域控制器的组策略更新
  • 定期或手动(通过gpupdate)检查策略更新

组策略存储位置

  • 本地存储路径: %LocalAppData%\Microsoft\GroupPolicy\History\
  • 示例路径: C:\Users\[user]\AppData\Local\Microsoft\GroupPolicy\History\{szGPOName}\USER-SID\Preferences\Printers\Printers.xml

漏洞原理

核心问题

  1. 权限配置不当: 普通用户对组策略历史文件有完全控制权限
  2. 符号链接攻击: 攻击者可创建指向恶意DLL的符号链接
  3. 服务上下文滥用: gpsvc以SYSTEM权限处理这些文件

攻击流程

  1. 攻击者识别最近使用的组策略GUID
  2. 定位并删除策略文件(如Printers.xml)
  3. 创建NTFS挂载点到\RPC控件
  4. 创建指向恶意DLL的符号链接(伪装成策略文件)
  5. 触发gpupdate强制策略更新
  6. gpsvc服务加载并执行恶意DLL,获得SYSTEM权限

利用步骤详解

  1. 枚举组策略GUID

    dir C:\Users\[user]\AppData\Local\Microsoft\GroupPolicy\History

  2. 确定活跃GUID

    • 检查目录修改时间,找到最近更新的GUID目录

  3. 导航至用户SID子目录

    cd C:\Users\[user]\AppData\Local\Microsoft\GroupPolicy\History\{GUID}\{USER-SID}

  4. 识别目标策略目录

    • 检查各子目录(如Printers, Devices等)的修改时间

  5. 删除原始策略文件

    del Printers\Printers.xml

  6. 创建符号链接

    mklink /J Printers\Printers.xml \RPC Control

    CreateSymbolicLink \RPC Control\Printers.xml C:\Windows\System32\evil.dll

  7. 触发策略更新

    gpupdate /force

影响评估

  • 权限提升: 普通用户→SYSTEM权限
  • 绕过安全机制: 可绕过反恶意软件和安全加固措施
  • 持久性: 可建立持久后门
  • 网络影响: 域环境中可横向移动

修复方案

官方补丁

  • 安装Microsoft 2020年6月安全更新
  • 补丁KB4561608(Windows 10 v1903/1909)
  • 补丁KB4561616(Windows 10 v2004)

临时缓解措施

  1. 限制目录权限

    icacls "%LocalAppData%\Microsoft\GroupPolicy\History" /deny Everyone:(F)

  2. 禁用符号链接创建

    • 组策略: 计算机配置→Windows设置→安全设置→本地策略→用户权限分配→创建符号链接

  3. 监控可疑活动

    • 监控对GroupPolicy目录的异常修改
    • 监控频繁的gpupdate执行

检测方法

  1. 日志分析

    • 事件ID 4663: 对GroupPolicy目录的文件删除操作
    • 事件ID 4688: 异常的gpupdate进程创建

  2. 文件系统监控

    • 监控Printers.xml等策略文件的异常修改

  3. 进程监控

    • 监控gpsvc加载异常DLL的行为

最佳实践

  1. 最小权限原则

    • 限制普通用户对系统目录的写入权限

  2. 定期更新

    • 确保所有系统及时安装最新安全补丁

  3. 安全审计

    • 定期审计组策略配置和文件权限

  4. 网络分段

    • 限制域内计算机的横向通信能力

参考资源

  1. Microsoft安全公告: CVE-2020-1317
  2. CyberArk完整报告: Group Policy Vulnerabilities
  3. Microsoft补丁指南: June 2020 Security Updates
Windows Group Policy 漏洞 (CVE-2020-1317) 技术分析与防御指南 漏洞概述 CVE编号 : CVE-2020-1317 影响范围 : Windows Server 2008及之后所有Windows版本 漏洞类型 : 本地权限提升(LPE) 发现者 : CyberArk安全公司 披露时间 : 2019年6月17日 修复时间 : 2020年6月补丁日 技术背景 Group Policy Client服务(gpsvc) 以SYSTEM权限运行,拥有管理员级别权限 负责检查并应用来自域控制器的组策略更新 定期或手动(通过gpupdate)检查策略更新 组策略存储位置 本地存储路径: %LocalAppData%\Microsoft\GroupPolicy\History\ 示例路径: C:\Users\[user]\AppData\Local\Microsoft\GroupPolicy\History\{szGPOName}\USER-SID\Preferences\Printers\Printers.xml 漏洞原理 核心问题 权限配置不当 : 普通用户对组策略历史文件有完全控制权限 符号链接攻击 : 攻击者可创建指向恶意DLL的符号链接 服务上下文滥用 : gpsvc以SYSTEM权限处理这些文件 攻击流程 攻击者识别最近使用的组策略GUID 定位并删除策略文件(如Printers.xml) 创建NTFS挂载点到\RPC控件 创建指向恶意DLL的符号链接(伪装成策略文件) 触发gpupdate强制策略更新 gpsvc服务加载并执行恶意DLL,获得SYSTEM权限 利用步骤详解 枚举组策略GUID 确定活跃GUID 检查目录修改时间,找到最近更新的GUID目录 导航至用户SID子目录 识别目标策略目录 检查各子目录(如Printers, Devices等)的修改时间 删除原始策略文件 创建符号链接 触发策略更新 影响评估 权限提升 : 普通用户→SYSTEM权限 绕过安全机制 : 可绕过反恶意软件和安全加固措施 持久性 : 可建立持久后门 网络影响 : 域环境中可横向移动 修复方案 官方补丁 安装Microsoft 2020年6月安全更新 补丁KB4561608(Windows 10 v1903/1909) 补丁KB4561616(Windows 10 v2004) 临时缓解措施 限制目录权限 禁用符号链接创建 组策略: 计算机配置→Windows设置→安全设置→本地策略→用户权限分配→创建符号链接 监控可疑活动 监控对GroupPolicy目录的异常修改 监控频繁的gpupdate执行 检测方法 日志分析 事件ID 4663: 对GroupPolicy目录的文件删除操作 事件ID 4688: 异常的gpupdate进程创建 文件系统监控 监控Printers.xml等策略文件的异常修改 进程监控 监控gpsvc加载异常DLL的行为 最佳实践 最小权限原则 限制普通用户对系统目录的写入权限 定期更新 确保所有系统及时安装最新安全补丁 安全审计 定期审计组策略配置和文件权限 网络分段 限制域内计算机的横向通信能力 参考资源 Microsoft安全公告: CVE-2020-1317 CyberArk完整报告: Group Policy Vulnerabilities Microsoft补丁指南: June 2020 Security Updates