Zerologon (CVE-2020-1472)
O que é Zerologon (CVE-2020-1472)?
Zerologon (CVE-2020-1472)Falha criptografica no protocolo Netlogon da Microsoft que permite a um atacante na rede repor a palavra-passe de um controlador de dominio e tomar o Active Directory.
O Zerologon (CVE-2020-1472) e uma elevacao de privilegios critica no Microsoft Netlogon Remote Protocol divulgada pela Secura em agosto de 2020. A falha resulta do uso indevido de AES-CFB8 com um IV todo a zero durante a autenticacao Netlogon, permitindo a um atacante na rede corporativa fazer-se passar por qualquer computador do dominio, incluindo um controlador. Atraves de tentativas de autenticacao forjadas repetidas, o atacante repoe a palavra-passe da conta de maquina do DC, extrai credenciais e obtem Domain Admin em minutos. A CISA emitiu uma directiva de emergencia e a Microsoft impos RPC seguro com patches faseados ate fevereiro de 2021. Grupos de ransomware e APT exploraram o Zerologon extensivamente em redes nao corrigidas.
● Exemplos
- 01
Um atacante na LAN executa o Zerologon, repoe a palavra-passe do DC e usa DCSync para extrair todos os hashes.
- 02
Os defensores activam o modo de imposicao do DC e monitorizam eventos Netlogon 5829 / 5827 enquanto corrigem equipamentos legados.
● Perguntas frequentes
O que é Zerologon (CVE-2020-1472)?
Falha criptografica no protocolo Netlogon da Microsoft que permite a um atacante na rede repor a palavra-passe de um controlador de dominio e tomar o Active Directory. Pertence à categoria Vulnerabilidades da cibersegurança.
O que significa Zerologon (CVE-2020-1472)?
Falha criptografica no protocolo Netlogon da Microsoft que permite a um atacante na rede repor a palavra-passe de um controlador de dominio e tomar o Active Directory.
Como funciona Zerologon (CVE-2020-1472)?
O Zerologon (CVE-2020-1472) e uma elevacao de privilegios critica no Microsoft Netlogon Remote Protocol divulgada pela Secura em agosto de 2020. A falha resulta do uso indevido de AES-CFB8 com um IV todo a zero durante a autenticacao Netlogon, permitindo a um atacante na rede corporativa fazer-se passar por qualquer computador do dominio, incluindo um controlador. Atraves de tentativas de autenticacao forjadas repetidas, o atacante repoe a palavra-passe da conta de maquina do DC, extrai credenciais e obtem Domain Admin em minutos. A CISA emitiu uma directiva de emergencia e a Microsoft impos RPC seguro com patches faseados ate fevereiro de 2021. Grupos de ransomware e APT exploraram o Zerologon extensivamente em redes nao corrigidas.
Como se defender contra Zerologon (CVE-2020-1472)?
As defesas contra Zerologon (CVE-2020-1472) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Zerologon (CVE-2020-1472)?
Nomes alternativos comuns: CVE-2020-1472, Elevacao Netlogon.
● Termos relacionados
- identity-access№ 013
Active Directory
Serviço de diretório empresarial da Microsoft para redes Windows, que fornece autenticação, autorização e gestão de políticas centralizada para utilizadores, computadores e recursos.
- vulnerabilities№ 860
Escalada de privilégios
Classe de vulnerabilidades que permite a um atacante obter permissões superiores às concedidas inicialmente, por exemplo passar de utilizador normal a administrador.