Zerologon (CVE-2020-1472)
Was ist Zerologon (CVE-2020-1472)?
Zerologon (CVE-2020-1472)Ein kryptografischer Fehler im Microsoft-Netlogon-Protokoll, über den ein Netzwerkangreifer das Maschinen-Passwort eines Domain Controllers zurücksetzen und Active Directory übernehmen kann.
Zerologon (CVE-2020-1472, CVSS 10.0) ist eine kritische Schwachstelle zur Rechteausweitung im Microsoft Netlogon Remote Protocol (MS-NRPC). Microsoft behob sie im Patch Tuesday vom August 2020, und Tom Tervoort von Secura veröffentlichte am 11. September 2020 die vollständige technische Analyse. Die Ursache ist der unsichere Einsatz von AES-CFB8: Die Funktion ComputeNetlogonCredential setzt den Initialisierungsvektor fest auf lauter Nullen, anstatt ihn zu randomisieren. Mit einem Null-IV und einem Null-Klartext ist der Chiffretext etwa in 1 von 256 Fällen ebenfalls lauter Nullen — sodass ein unauthentifizierter Angreifer im Netzwerk jeden in die Domäne eingebundenen Rechner, einschließlich eines Domain Controllers, durch bloßes wiederholtes Versuchen imitieren kann.
Nachdem die Authentifizierung umgangen wurde, nutzt der Angreifer einen Netlogon-Aufruf, um das Maschinenkonto-Passwort des DC auf einen leeren Wert zurückzusetzen, und führt anschließend DCSync aus, um jeden Credential-Hash (einschließlich krbtgt) zu dumpen und innerhalb von Minuten Domain Admin zu werden. Zu beachten ist, dass das Zurücksetzen des DC-Passworts es vom Active Directory desynchronisiert, was den DC beschädigen kann, wenn es nicht wiederhergestellt wird. CISA erließ die Emergency Directive 20-04, und Microsoft erzwang im Update vom Februar 2021 standardmäßig Secure RPC. Ransomware-Betreiber (darunter Ryuk) und APTs nutzten die Schwachstelle rasch als Waffe. Schutzmaßnahmen: sowohl die Updates vom August 2020 als auch vom Februar 2021 einspielen, den DC-Enforcement-Modus aktivieren und die Event IDs 5827/5829 auf verwundbare Netlogon-Verbindungen überwachen.
flowchart TD
A[Unauthentifizierter Angreifer im LAN] -->|"Gefälschte Netlogon-Auth, Null-IV"| B[Domain Controller]
B --> C{"Chiffretext = 0?<br/>(~1 von 256)"}
C -->|Nein| A
C -->|Ja| D[Authentifizierung umgangen<br/>DC-Maschinenkonto imitieren]
D --> E[DC-Maschinen-Passwort<br/>auf leeren Wert zurücksetzen]
E --> F[DCSync: alle Hashes dumpen<br/>inkl. krbtgt → Domain Admin]● Beispiele
- 01
Ein Angreifer im LAN startet einen Zerologon-Exploit, setzt das DC-Passwort zurück und nutzt DCSync, um alle Hashes zu extrahieren.
- 02
Verteidiger aktivieren den DC-Enforcement-Modus und überwachen die Netlogon-Events 5829 / 5827 während des Patchens von Legacy-Geräten.
● Häufige Fragen
Was ist Zerologon (CVE-2020-1472)?
Ein kryptografischer Fehler im Microsoft-Netlogon-Protokoll, über den ein Netzwerkangreifer das Maschinen-Passwort eines Domain Controllers zurücksetzen und Active Directory übernehmen kann. Es gehört zur Kategorie Schwachstellen der Cybersicherheit.
Was bedeutet Zerologon (CVE-2020-1472)?
Ein kryptografischer Fehler im Microsoft-Netlogon-Protokoll, über den ein Netzwerkangreifer das Maschinen-Passwort eines Domain Controllers zurücksetzen und Active Directory übernehmen kann.
Wie schützt man sich gegen Zerologon (CVE-2020-1472)?
Schutzmaßnahmen gegen Zerologon (CVE-2020-1472) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Zerologon (CVE-2020-1472)?
Übliche alternative Bezeichnungen: CVE-2020-1472, Netlogon-Rechteausweitung.