Zerologon (CVE-2020-1472)
Was ist Zerologon (CVE-2020-1472)?
Zerologon (CVE-2020-1472)Kryptografischer Fehler im Microsoft-Netlogon-Protokoll, ueber den ein Netzwerkangreifer das Maschinen-Passwort eines Domain Controllers zuruecksetzen und Active Directory uebernehmen kann.
Zerologon (CVE-2020-1472) ist eine kritische Privilege-Escalation-Schwachstelle im Microsoft Netlogon Remote Protocol, die Secura im August 2020 veroeffentlichte. Ursache ist die fehlerhafte Verwendung von AES-CFB8 mit einem Null-IV waehrend der Netlogon-Authentifizierung, wodurch ein Angreifer im Unternehmensnetz jeden Domaenenrechner einschliesslich des Domain Controllers imitieren kann. Durch wiederholte gefaelschte Authentifizierungen setzt der Angreifer das Maschinen-Passwort des DC auf leer, dumpt Credentials und wird in Minuten Domain Admin. CISA erliess eine Notfall-Direktive, Microsoft veroeffentlichte einen gestaffelten Patch mit Secure-RPC-Pflicht bis Februar 2021. Ransomware- und APT-Gruppen nutzten Zerologon umfangreich gegen ungepatchte Netze.
● Beispiele
- 01
Ein Angreifer im LAN startet Zerologon, setzt das DC-Passwort zurueck und exportiert per DCSync alle Hashes.
- 02
Verteidiger aktivieren den DC-Enforcement-Modus und ueberwachen Netlogon-Events 5829 / 5827 waehrend des Legacy-Patchings.
● Häufige Fragen
Was ist Zerologon (CVE-2020-1472)?
Kryptografischer Fehler im Microsoft-Netlogon-Protokoll, ueber den ein Netzwerkangreifer das Maschinen-Passwort eines Domain Controllers zuruecksetzen und Active Directory uebernehmen kann. Es gehört zur Kategorie Schwachstellen der Cybersicherheit.
Was bedeutet Zerologon (CVE-2020-1472)?
Kryptografischer Fehler im Microsoft-Netlogon-Protokoll, ueber den ein Netzwerkangreifer das Maschinen-Passwort eines Domain Controllers zuruecksetzen und Active Directory uebernehmen kann.
Wie funktioniert Zerologon (CVE-2020-1472)?
Zerologon (CVE-2020-1472) ist eine kritische Privilege-Escalation-Schwachstelle im Microsoft Netlogon Remote Protocol, die Secura im August 2020 veroeffentlichte. Ursache ist die fehlerhafte Verwendung von AES-CFB8 mit einem Null-IV waehrend der Netlogon-Authentifizierung, wodurch ein Angreifer im Unternehmensnetz jeden Domaenenrechner einschliesslich des Domain Controllers imitieren kann. Durch wiederholte gefaelschte Authentifizierungen setzt der Angreifer das Maschinen-Passwort des DC auf leer, dumpt Credentials und wird in Minuten Domain Admin. CISA erliess eine Notfall-Direktive, Microsoft veroeffentlichte einen gestaffelten Patch mit Secure-RPC-Pflicht bis Februar 2021. Ransomware- und APT-Gruppen nutzten Zerologon umfangreich gegen ungepatchte Netze.
Wie schützt man sich gegen Zerologon (CVE-2020-1472)?
Schutzmaßnahmen gegen Zerologon (CVE-2020-1472) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Zerologon (CVE-2020-1472)?
Übliche alternative Bezeichnungen: CVE-2020-1472, Netlogon-Rechteausweitung.
● Verwandte Begriffe
- identity-access№ 013
Active Directory
Unternehmens-Verzeichnisdienst von Microsoft für Windows-Netzwerke, der zentrale Authentifizierung, Autorisierung und Richtlinienverwaltung für Benutzer, Computer und Ressourcen bietet.
- vulnerabilities№ 860
Privilegieneskalation
Eine Klasse von Schwachstellen, die einem Angreifer höhere Rechte verschafft als ursprünglich vergeben — etwa vom normalen Benutzer zum Administrator.