Zerologon (CVE-2020-1472)
¿Qué es Zerologon (CVE-2020-1472)?
Zerologon (CVE-2020-1472)Fallo criptográfico en el protocolo Netlogon de Microsoft que permite a un atacante en la red reiniciar la contraseña de máquina de un controlador de dominio y apoderarse de Active Directory.
Zerologon (CVE-2020-1472, CVSS 10.0) es un fallo crítico de elevación de privilegios en el Microsoft Netlogon Remote Protocol (MS-NRPC). Microsoft lo parcheó en el Patch Tuesday de agosto de 2020, y Tom Tervoort de Secura publicó el análisis técnico completo el 11 de septiembre de 2020. La causa raíz es el uso inseguro de AES-CFB8: la función ComputeNetlogonCredential fija el vector de inicialización todo a ceros en lugar de aleatorizarlo. Con un IV todo a ceros y un texto plano todo a ceros, el texto cifrado es todo ceros aproximadamente 1 de cada 256 veces, de modo que un atacante no autenticado en la red puede suplantar a cualquier máquina unida al dominio, incluido un controlador de dominio, con solo reintentar.
Tras eludir la autenticación, el atacante usa una llamada Netlogon para reiniciar la contraseña de cuenta de máquina del DC a un valor vacío, y luego ejecuta DCSync para volcar todos los hashes de credenciales (incluido krbtgt) y obtener Domain Admin en cuestión de minutos. Hay que tener en cuenta que reiniciar la contraseña del DC la desincroniza de Active Directory, lo que puede dejar inservible el DC si no se restaura. CISA emitió la Directiva de Emergencia 20-04 y Microsoft forzó el RPC seguro por defecto en la actualización de febrero de 2021. Los operadores de ransomware (incluido Ryuk) y los APT lo armaron rápidamente. Defensas: aplicar tanto la actualización de agosto de 2020 como la de febrero de 2021, habilitar el modo de aplicación del DC y monitorizar los Event ID 5827/5829 en busca de conexiones Netlogon vulnerables.
flowchart TD
A[Atacante no autenticado en la LAN] -->|"Autenticación Netlogon falsificada, IV todo a ceros"| B[Controlador de dominio]
B --> C{"¿Texto cifrado = 0?<br/>(~1 de cada 256)"}
C -->|No| A
C -->|Sí| D[Autenticación eludida<br/>suplantar cuenta de máquina del DC]
D --> E[Reiniciar la contraseña de máquina del DC<br/>a un valor vacío]
E --> F[DCSync: volcar todos los hashes<br/>incl. krbtgt → Domain Admin]● Ejemplos
- 01
Un atacante en la LAN ejecuta un exploit de Zerologon, reinicia la contraseña del DC y usa DCSync para extraer todos los hashes.
- 02
Los defensores activan el modo de aplicación del DC y monitorizan eventos Netlogon 5829 / 5827 mientras parchean equipos antiguos.
● Preguntas frecuentes
¿Qué es Zerologon (CVE-2020-1472)?
Fallo criptográfico en el protocolo Netlogon de Microsoft que permite a un atacante en la red reiniciar la contraseña de máquina de un controlador de dominio y apoderarse de Active Directory. Pertenece a la categoría de Vulnerabilidades en ciberseguridad.
¿Qué significa Zerologon (CVE-2020-1472)?
Fallo criptográfico en el protocolo Netlogon de Microsoft que permite a un atacante en la red reiniciar la contraseña de máquina de un controlador de dominio y apoderarse de Active Directory.
¿Cómo defenderse de Zerologon (CVE-2020-1472)?
Las defensas contra Zerologon (CVE-2020-1472) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Zerologon (CVE-2020-1472)?
Nombres alternativos comunes: CVE-2020-1472, Elevación de privilegios Netlogon.