Zerologon (CVE-2020-1472)：严重的 Active Directory 漏洞

2020 年 8 月，Microsoft 发布了一个更新来修复 Active Directory 中的一个关键 Windows Server 漏洞 - CVE-2020-1472（更称为 Zerologon）。 4 个月前，此更新已成功安装在所有域控制器上。然而，并非所有 Windows 管理员都知道在 DC 上安装更新并不是故事的结局。在本文中，我们将介绍 Zerologon 漏洞、如何保护 AD 域控制器免受该漏洞的影响、为什么将在 2021 年 2 月发布另一个 Zerologon 更新以及 Windows Server 管理员应该如何处理这一切。

ZeroLogon：Windows Netlogon 漏洞 CVE-2020-1472

所有 Windows Server 版本（2008 R2、2012、2016、2019）中 Active Directory 中的严重漏洞 CVE-2020-1472 允许未经身份验证的用户远程获取域管理员权限。由于Netlogon远程协议(MS-NRPC)中的AES-CFB8加密协议实现存在缺陷，通过网络访问域控制器的攻击者可以提升权限并更改AD中的域控制器帐户密码。然后，攻击者可以使用系统权限在 DC 上进行身份验证，并获得对 Active Directory 的完全控制（重置域管理员密码或在 AD 中执行任何其他操作）。

Netlogon协议用于对AD域网络中的用户和计算机进行身份验证。 Netlogon 还用于远程更新 Active Directory 域中的计算机帐户密码。

要实现 Zerologon 漏洞，攻击者需要使用以零开头的特定序列通过 Netlogon 建立连接（使用以下端口：RPC 定位器 TCP/135、RPC 动态端口范围和 TCP/445 上的 SMB 协议）。 Netlogon漏洞允许您冒充合法域计算机，升级权限后可以更改DC帐户密码。

该漏洞获得了最高 CVSS 评级（10，共 10 分）。

所有 Windows Server 版本都会受到影响：

• Windows Server 2019、Windows Server 2016；

• Windows Server 2004、1909、1903；

• Windows Server 2012 R2/2012；

• Windows Server 2008 R2 SP 1。

目前，有几个正在运行的 Zerologon 公共漏洞（mimikatz 中还添加了一个 Zerologon 模块）。

不要在网络中测试零登录漏洞，因为如果将 DC 密码重置为空，可能会损坏 AD 基础设施。

有一个 Python 脚本可以测试您的 DC 是否存在零登录漏洞：https://github.com/SecuraBV/CVE-2020-1472。

针对 Zerologon 的 Windows Server 更新

由于 Microsoft 不再支持 Windows Server 2008 R2，因此该操作系统版本没有公开可用的错误修复程序。但是，如果您购买了扩展安全更新 (ESU) 1 年期订阅，则可以下载并安装 WS2008R2 的 4571729 更新。

Windows Server 2008 R2 有一个非官方 Zerologon 补丁 - 0patch (https://blog.0patch.com/2020/09/micropatch-for-zerologon-perfect.html)。您可以自行承担使用它的风险。

其他 Windows Server 版本在 Windows Update、WSUS 中提供可用更新，或者您可以从 Microsoft 更新目录手动下载更新并手动安装 MSU 更新文件。

• Windows Server 2019 (KB4565349)、Windows Server 2016 (KB571694)；

• Windows Server 2004 (4566782)、1909 (KB4565351)、1903 (KB4565351)；

• Windows Server 2012 R2 (KB4571723)、Windows Server 2012 (KB4571702)。

保护 Active Directory 域控制器免受 ZeroLogon 攻击

修复 Zerologon 漏洞的更新于 2020 年 8 月发布。为了保护您的 Active Directory，您必须在所有域控制器上安装适用于您的 Windows Server 版本的 8 月累积更新（或更高版本）。

实际上，该补丁只是一个临时修复。

Microsoft 将分两个阶段修复 Zerologon，以便平稳过渡到 Netlogon 中的安全远程过程调用 (RPC)：

• 第一（部署）阶段。8 月补丁是一个紧急修复程序，旨在保护域控制器免受已知攻击情况的影响。但本次更新并没有完全修复该漏洞（通过Netlogon攻击DC的其他场景也是可能的）。不支持 Netlogon RPC 协议新安全版本的旧系统仍然可以连接到域控制器。

• 第二（执行）阶段。下一个更新将于 2021 年 2 月 9 日发布。安装此更新后，所有域控制器将拒绝使用旧 Netlogon 协议的连接（但是，您可以使用 GPO 设置旧设备的排除，我们将在下面展示如何执行此操作）。

安装第一个补丁后，您可以在域控制器日志中找到使用不安全版本的 Netlogon RPC 的设备连接事件。此外，如果您的网络中没有旧设备，您可以在域控制器上禁用对旧 Netlogon RPC 版本的支持，而无需等待 2021 年（使用 FullSecureChannelProtection 注册表参数）。

安装安全更新后，使用易受攻击的 Netlogon 版本连接计算机的事件将记录在域控制器日志中。您应该注意事件查看器 -> Windows 日志 -> 系统中 NETLOGON 的以下 EventID：

• EventID 5827 和 5828 - Netlogon 服务拒绝来自计算机帐户的易受攻击的 Netlogon 安全通道连接。 此消息意味着使用易受攻击的 Netlogon 版本的这台计算机的连接被拒绝（这是一个参考消息，直到 2021 年 2 月，没有采取实际行动来阻止连接）。

  

  Get-EventLog -LogName System -InstanceId 5827 -Source NETLOGON|Select-Object message| Export-Csv c:\ps27.csv -Encoding utf8

• EventID 5829 — 允许使用易受攻击的 Netlogon 版本进行连接；

• EventID 583、5831 — 允许使用易受攻击的 Netlogon 版本进行连接，因为该设备已添加到“域控制器：允许易受攻击的 Netlogon 安全通道连接”策略中。

到 2021 年 2 月，您必须在所有检测到的设备上安装最新的安全更新。在Windows中，安装最新的累积更新就足够了。请向您的设备/软件供应商 (OEM) 询问使用 Netlogon 远程协议连接到 Active Directory 的所有其他设备的更新。

一个特殊的安全更新将于二月份发布，该更新将使域控制器处于所有连接设备都必须使用 Netlogon 协议的安全版本的模式。同时，事件 5829 中指定的设备（不支持安全 Netlogon 版本）将无法连接域。您必须手动将这些设备添加到 GPO 排除项。

这意味着不再支持的 Windows 版本（Windows XP/ Windows Server 2003/Vista/2008）将无法在您的 AD 域中正常工作。

Zerologon 的组策略

如果网络上没有仅支持不安全 Netlogon 版本的设备，您可以创建单独的 GPO，以强制 DC 在 2021 年 2 月 9 日之前使用安全 Netlogon 版本（届时将发布第二阶段更新，该更新将拒绝使用不安全 Netlogon 版本的连接）。为此，请使用 GPO 将以下注册表项部署到所有 DC：

• 注册表键值：

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters

• 参数类型：

  DWORD

• 参数名称：

  FullSecureChannelProtection

可能的值：

• 1 — 启用强制模式。 DC 将拒绝通过 Netlogon 的易受攻击版本进行连接。该参数对于添加到策略“域控制器：允许易受攻击的 Netlogon 安全通道连接”的帐户没有影响（见下文）；

• 0 - 允许 DC 使用易受攻击的 Netlogon 版本接受来自非 Windows 设备的连接（此选项将在实施阶段版本中弃用）。

如何允许非 Windows 设备使用 Netlogon 连接到 DC？

GPO 中出现了一个特殊参数，允许某些设备/帐户使用易受攻击的 Netlogon 版本连接到 DC。该策略称为域控制器：允许易受攻击的 Netlogon 安全通道连接，您可以在计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项下找到它。

启用 DC 策略（在默认域控制器策略级别），单击定义安全并指定允许使用不安全 Netlogon 协议的组（创建易受攻击的连接 -> 允许）。

通过选中拒绝选项，您可以拒绝对特定设备使用不安全的Netlogon RPC。