ZeroLogon (CVE-2020-1472) 漏洞分析与防御指南<\/h1>

漏洞概述<\/h2>
ZeroLogon (CVE-2020-1472) 是2020年9月由Secura披露的一个Windows域控严重漏洞，CVSS评分为10.0。该漏洞存在于Netlogon远程协议(MS-NRPC)中，攻击者可利用此漏洞在3秒内攻陷域控制器(DC)，因此被称为"3秒撸域控"漏洞。<\/p>

漏洞原理<\/h2>

Netlogon协议基础<\/h3>

Netlogon远程协议是一个RPC接口，用于基于域的网络上的用户和计算机身份验证。其认证流程包含以下关键步骤：<\/p>

客户端向服务器发送挑战请求(NetrServerReqChallenge)<\/li>
服务器返回服务器挑战(Server Challenge)<\/li>
客户端计算凭据(Client Credential)并发送认证请求(NetrServerAuthenticate3)<\/li>

服务器验证凭据<\/li> <\/ol>

漏洞核心问题<\/h3>

漏洞存在于ComputeNetlogonCredential函数的AES-CFB8加密实现中：<\/p>

IV设置错误<\/strong>：在认证过程中，IV(初始化向量)被错误地设置为全0<\/p> <\/li>
Client Challenge可控<\/strong>：攻击者可以将Client Challenge设置为全0<\/p> <\/li>

加密算法缺陷<\/strong>：当IV和Client Challenge都为全0时，AES-CFB8加密过程简化为：<\/p>
E(0) XOR 0 = E(0) <\/code><\/pre> 这意味着有1\/256的概率会得到8字节全0的Client Credential<\/p> <\/li> 暴力破解可能<\/strong>：攻击者可以不断尝试认证，直到获得有效的全0凭据<\/p> <\/li> <\/ol> 漏洞利用步骤<\/h2> 实验环境要求<\/h3> 域控：Windows Server 2012 R2 (x64)<\/li> 攻击机：Ubuntu 16.04 (x64)<\/li> 网络：攻击机与域控网络可达<\/li> <\/ul> 利用过程<\/h3> 利用漏洞重置域控密码<\/strong>：<\/p> python3 cve-2020-1472-exploit.py DC 10.10.10.10 <\/code><\/pre> 此操作会将域控计算机账户(DC$)的密码置为空<\/p> <\/li> 导出域内凭据<\/strong>：<\/p> python3 secretsdump.py de1ay\/DC\$@10.10.10.10 -no-pass <\/code><\/pre> 此时可获取域内所有用户的哈希，包括域管理员<\/p> <\/li> 获取域控权限<\/strong>：<\/p> python3 wmiexec.py -hashes aad3b435b51404eeaad3b435b51404ee:161cff084477fe596a5db81874498a24 Administrator@10.10.10.10 <\/code><\/pre> 使用获取的管理员哈希执行命令<\/p> <\/li> <\/ol> 威胁狩猎(Threat Hunting)<\/h2> 基于日志的检测<\/h3> 关键事件ID<\/strong>：<\/p> Event ID 4742<\/strong>：计算机账户更改事件，注意账户名为"ANONYMOUS LOGON"<\/li> Event ID 5805<\/strong>：失败的Netlogon认证尝试<\/li> 补丁后新增事件ID<\/strong>： 5829：允许存在漏洞的Netlogon连接<\/li> 5827\/5828：拒绝易受攻击的Netlogon连接<\/li> 5830\/5831：允许存在漏洞的Netlogon连接<\/li> <\/ul> <\/li> <\/ul> <\/li> 检测规则<\/strong>：<\/p> 同时检测到5805(失败尝试)和4742(成功更改)<\/li> 4742中账户名为"ANONYMOUS LOGON"<\/li> <\/ul> <\/li> <\/ol> 基于流量的检测<\/h3> 特征分析<\/strong>：<\/p> 短时间内大量NetrServerAuthenticate3请求<\/li> Client Credential字段全为0<\/li> <\/ul> <\/li> Zeek检测规则示例<\/strong>：<\/p> title<\/span>: Possible CVE-2020-1472 (zerologon)<\/span> <\/span><\/span>description<\/span>: Detects potential Zerologon exploitation<\/span> <\/span><\/span>detection<\/span>: <\/span><\/span> selection<\/span>: <\/span><\/span> endpoint<\/span>: 'netlogon'<\/span> <\/span><\/span> operation<\/span>: 'NetrServerReqChallenge'<\/span> <\/span><\/span> selection2<\/span>: <\/span><\/span> endpoint<\/span>: 'netlogon'<\/span> <\/span><\/span> operation<\/span>: 'NetrServerAuthenticate3'<\/span> <\/span><\/span> timeframe<\/span>: 1m<\/span> <\/span><\/span> condition<\/span>: selection or selection2 | count() by src_ip > 100<\/span> <\/span><\/span>level<\/span>: high<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 防御建议<\/h2> 立即安装补丁<\/strong>：微软已于2020年8月发布补丁<\/li> 启用强制模式<\/strong>：在补丁后启用Netlogon安全通道的强制模式<\/li> 监控策略<\/strong>：部署上述检测规则<\/li> 监控域控计算机账户的异常更改<\/li> <\/ul> <\/li> 网络隔离<\/strong>：限制对域控445端口的访问<\/li> <\/ol> 影响与风险<\/h2> 严重性<\/strong>：可直接获取域控权限，进而控制整个域<\/li> 可用性影响<\/strong>：漏洞利用会导致域控密码重置，可能影响域服务正常运行<\/li> 攻击隐蔽性<\/strong>：攻击成功后可在短时间内完成，但会留下明显日志痕迹<\/li> <\/ol> 参考资料<\/h2> Secura BV CVE-2020-1472<\/a><\/li> Cynet ZeroLogon Analysis<\/a><\/li> Awake Security Threat Hunting Guide<\/a><\/li> ZSEC Technical Analysis<\/a><\/li> <\/ol>

ZeroLogon (CVE-2020-1472) 漏洞分析与防御指南<\/h1>

漏洞概述<\/h2> ZeroLogon (CVE-2020-1472) 是2020年9月由Secura披露的一个Windows域控严重漏洞，CVSS评分为10.0。该漏洞存在于Netlogon远程协议(MS-NRPC)中，攻击者可利用此漏洞在3秒内攻陷域控制器(DC)，因此被称为"3秒撸域控"漏洞。<\/p>

漏洞原理<\/h2>

威胁狩猎(Threat Hunting)<\/h2>

参考资料<\/h2> Secura BV CVE-2020-1472<\/a><\/li> Cynet ZeroLogon Analysis<\/a><\/li> Awake Security Threat Hunting Guide<\/a><\/li> ZSEC Technical Analysis<\/a><\/li> <\/ol>

漏洞概述<\/h2>
ZeroLogon (CVE-2020-1472) 是2020年9月由Secura披露的一个Windows域控严重漏洞，CVSS评分为10.0。该漏洞存在于Netlogon远程协议(MS-NRPC)中，攻击者可利用此漏洞在3秒内攻陷域控制器(DC)，因此被称为"3秒撸域控"漏洞。<\/p>

参考资料<\/h2>

Secura BV CVE-2020-1472<\/a><\/li>
Cynet ZeroLogon Analysis<\/a><\/li>
Awake Security Threat Hunting Guide<\/a><\/li>
ZSEC Technical Analysis<\/a><\/li> <\/ol>