Zerologon (CVE-2020-1472)
¿Qué es Zerologon (CVE-2020-1472)?
Zerologon (CVE-2020-1472)Fallo criptografico en el protocolo Netlogon de Microsoft que permite a un atacante en la red reiniciar la contrasena de un controlador de dominio y apoderarse de Active Directory.
Zerologon, registrada como CVE-2020-1472, es una elevacion de privilegios critica en el protocolo Netlogon Remote Protocol de Microsoft divulgada por Secura en agosto de 2020. El error proviene del uso indebido de AES-CFB8 con un IV todo a cero durante la autenticacion Netlogon, permitiendo a un atacante en la red corporativa suplantar a cualquier equipo del dominio, incluido un controlador de dominio. Mediante intentos de autenticacion falsificados repetidos, el atacante puede poner a cero la contrasena de cuenta de maquina del DC, volcar credenciales y obtener Domain Admin en minutos. CISA emitio una directiva de emergencia y Microsoft publico un parche en fases que forzaba RPC seguro en febrero de 2021. Grupos de ransomware y APT explotaron Zerologon en redes no parcheadas.
● Ejemplos
- 01
Un atacante en la LAN ejecuta Zerologon, reinicia la contrasena del DC y usa DCSync para extraer todos los hashes.
- 02
Los defensores activan el modo de aplicacion del DC y monitorizan eventos Netlogon 5829 / 5827 mientras parchean equipos antiguos.
● Preguntas frecuentes
¿Qué es Zerologon (CVE-2020-1472)?
Fallo criptografico en el protocolo Netlogon de Microsoft que permite a un atacante en la red reiniciar la contrasena de un controlador de dominio y apoderarse de Active Directory. Pertenece a la categoría de Vulnerabilidades en ciberseguridad.
¿Qué significa Zerologon (CVE-2020-1472)?
Fallo criptografico en el protocolo Netlogon de Microsoft que permite a un atacante en la red reiniciar la contrasena de un controlador de dominio y apoderarse de Active Directory.
¿Cómo funciona Zerologon (CVE-2020-1472)?
Zerologon, registrada como CVE-2020-1472, es una elevacion de privilegios critica en el protocolo Netlogon Remote Protocol de Microsoft divulgada por Secura en agosto de 2020. El error proviene del uso indebido de AES-CFB8 con un IV todo a cero durante la autenticacion Netlogon, permitiendo a un atacante en la red corporativa suplantar a cualquier equipo del dominio, incluido un controlador de dominio. Mediante intentos de autenticacion falsificados repetidos, el atacante puede poner a cero la contrasena de cuenta de maquina del DC, volcar credenciales y obtener Domain Admin en minutos. CISA emitio una directiva de emergencia y Microsoft publico un parche en fases que forzaba RPC seguro en febrero de 2021. Grupos de ransomware y APT explotaron Zerologon en redes no parcheadas.
¿Cómo defenderse de Zerologon (CVE-2020-1472)?
Las defensas contra Zerologon (CVE-2020-1472) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Zerologon (CVE-2020-1472)?
Nombres alternativos comunes: CVE-2020-1472, Elevacion de privilegios Netlogon.
● Términos relacionados
- identity-access№ 013
Active Directory
Servicio de directorio empresarial de Microsoft para redes Windows que ofrece autenticación, autorización y gestión de políticas centralizadas para usuarios, equipos y recursos.
- vulnerabilities№ 860
Escalada de privilegios
Clase de vulnerabilidades que permite al atacante obtener permisos superiores a los concedidos inicialmente, por ejemplo pasar de usuario normal a administrador.