Zerologon (CVE-2020-1472)
Qu'est-ce que Zerologon (CVE-2020-1472) ?
Zerologon (CVE-2020-1472)Faille cryptographique dans le protocole Netlogon de Microsoft permettant a un attaquant sur le reseau de reinitialiser le mot de passe d'un controleur de domaine et de prendre Active Directory.
Zerologon, identifie CVE-2020-1472, est une elevation de privilege critique dans Microsoft Netlogon Remote Protocol divulguee par Secura en aout 2020. Le bug vient de l'usage incorrect d'AES-CFB8 avec un IV nul lors de l'authentification Netlogon, permettant a un attaquant sur le reseau d'usurper n'importe quel ordinateur du domaine, y compris un controleur. En repetant des tentatives d'authentification forgees, l'attaquant remet a zero le mot de passe du compte machine du DC, extrait les credentials et devient Domain Admin en quelques minutes. La CISA a publie une directive d'urgence et Microsoft a impose le RPC securise par un correctif progressif en fevrier 2021. Les groupes ransomware et APT ont massivement exploite Zerologon sur les reseaux non corriges.
● Exemples
- 01
Un attaquant sur le LAN lance Zerologon, reinitialise le mot de passe du DC et execute DCSync pour exfiltrer tous les hashs.
- 02
Les defenseurs activent le mode d'application sur les DC et surveillent les evenements Netlogon 5829 / 5827 pendant le patch des equipements legacy.
● Questions fréquentes
Qu'est-ce que Zerologon (CVE-2020-1472) ?
Faille cryptographique dans le protocole Netlogon de Microsoft permettant a un attaquant sur le reseau de reinitialiser le mot de passe d'un controleur de domaine et de prendre Active Directory. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.
Que signifie Zerologon (CVE-2020-1472) ?
Faille cryptographique dans le protocole Netlogon de Microsoft permettant a un attaquant sur le reseau de reinitialiser le mot de passe d'un controleur de domaine et de prendre Active Directory.
Comment fonctionne Zerologon (CVE-2020-1472) ?
Zerologon, identifie CVE-2020-1472, est une elevation de privilege critique dans Microsoft Netlogon Remote Protocol divulguee par Secura en aout 2020. Le bug vient de l'usage incorrect d'AES-CFB8 avec un IV nul lors de l'authentification Netlogon, permettant a un attaquant sur le reseau d'usurper n'importe quel ordinateur du domaine, y compris un controleur. En repetant des tentatives d'authentification forgees, l'attaquant remet a zero le mot de passe du compte machine du DC, extrait les credentials et devient Domain Admin en quelques minutes. La CISA a publie une directive d'urgence et Microsoft a impose le RPC securise par un correctif progressif en fevrier 2021. Les groupes ransomware et APT ont massivement exploite Zerologon sur les reseaux non corriges.
Comment se défendre contre Zerologon (CVE-2020-1472) ?
Les défenses contre Zerologon (CVE-2020-1472) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Zerologon (CVE-2020-1472) ?
Noms alternatifs courants : CVE-2020-1472, Elevation Netlogon.
● Termes liés
- identity-access№ 013
Active Directory
Service d'annuaire d'entreprise de Microsoft pour les réseaux Windows, qui assure l'authentification, l'autorisation et la gestion centralisée des stratégies pour utilisateurs, machines et ressources.
- vulnerabilities№ 860
Élévation de privilèges
Catégorie de vulnérabilités permettant à un attaquant d'obtenir des droits supérieurs à ceux accordés initialement, par exemple passer d'un utilisateur standard à administrateur.