Zerologon (CVE-2020-1472)
Qu'est-ce que Zerologon (CVE-2020-1472) ?
Zerologon (CVE-2020-1472)Faille cryptographique dans le protocole Netlogon de Microsoft qui permet à un attaquant sur le réseau de réinitialiser le mot de passe machine d'un contrôleur de domaine et de prendre le contrôle d'Active Directory.
Zerologon (CVE-2020-1472, CVSS 10.0) est une faille critique d'élévation de privilège dans le Microsoft Netlogon Remote Protocol (MS-NRPC). Microsoft l'a corrigée lors du Patch Tuesday d'août 2020, et Tom Tervoort de Secura a publié l'analyse technique complète le 11 septembre 2020. La cause racine est l'usage non sécurisé d'AES-CFB8 : la fonction ComputeNetlogonCredential fixe le vecteur d'initialisation à des zéros au lieu de le rendre aléatoire. Avec un IV entièrement nul et un texte clair entièrement nul, le texte chiffré est entièrement nul environ 1 fois sur 256 — un attaquant non authentifié sur le réseau peut donc usurper n'importe quelle machine jointe au domaine, y compris un contrôleur de domaine, en réessayant simplement.
Après avoir contourné l'authentification, l'attaquant utilise un appel Netlogon pour réinitialiser le mot de passe du compte machine du DC à une valeur vide, puis effectue un DCSync pour extraire tous les hashs de credentials (y compris krbtgt) et obtenir le rôle de Domain Admin en quelques minutes. À noter que la réinitialisation du mot de passe du DC le désynchronise d'Active Directory, ce qui peut casser le DC s'il n'est pas restauré. La CISA a publié la directive d'urgence 20-04, et Microsoft a imposé le RPC sécurisé par défaut dans la mise à jour de février 2021. Les opérateurs de ransomware (dont Ryuk) et des APT l'ont rapidement instrumentalisée. Défenses : appliquer à la fois les mises à jour d'août 2020 et de février 2021, activer le mode d'application sur les DC et surveiller les Event IDs 5827/5829 pour repérer les connexions Netlogon vulnérables.
flowchart TD
A[Attaquant non authentifié sur le LAN] -->|"Authentification Netlogon forgée, IV entièrement nul"| B[Contrôleur de domaine]
B --> C{"Texte chiffré = 0 ?<br/>(~1 sur 256)"}
C -->|Non| A
C -->|Oui| D[Authentification contournée<br/>usurpation du compte machine du DC]
D --> E[Réinitialisation du mot de passe machine du DC<br/>à une valeur vide]
E --> F[DCSync : extraction de tous les hashs<br/>dont krbtgt → Domain Admin]● Exemples
- 01
Un attaquant sur le LAN lance un exploit Zerologon, réinitialise le mot de passe du DC et utilise DCSync pour extraire tous les hashs.
- 02
Les défenseurs activent le mode d'application sur les DC et surveillent les événements Netlogon 5829 / 5827 pendant le correctif des équipements legacy.
● Questions fréquentes
Qu'est-ce que Zerologon (CVE-2020-1472) ?
Faille cryptographique dans le protocole Netlogon de Microsoft qui permet à un attaquant sur le réseau de réinitialiser le mot de passe machine d'un contrôleur de domaine et de prendre le contrôle d'Active Directory. Cette notion relève de la catégorie Vulnérabilités en cybersécurité.
Que signifie Zerologon (CVE-2020-1472) ?
Faille cryptographique dans le protocole Netlogon de Microsoft qui permet à un attaquant sur le réseau de réinitialiser le mot de passe machine d'un contrôleur de domaine et de prendre le contrôle d'Active Directory.
Comment se défendre contre Zerologon (CVE-2020-1472) ?
Les défenses contre Zerologon (CVE-2020-1472) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Zerologon (CVE-2020-1472) ?
Noms alternatifs courants : CVE-2020-1472, Élévation de privilège Netlogon.