Zerologon (CVE-2020-1472)
O que é Zerologon (CVE-2020-1472)?
Zerologon (CVE-2020-1472)Falha criptográfica no protocolo Netlogon da Microsoft que permite a um atacante na rede repor a palavra-passe de um Controlador de Domínio e tomar o Active Directory.
O Zerologon (CVE-2020-1472, CVSS 10.0) é uma falha crítica de elevação de privilégios no Microsoft Netlogon Remote Protocol (MS-NRPC). A Microsoft corrigiu-a no Patch Tuesday de agosto de 2020, e Tom Tervoort, da Secura, publicou a análise técnica completa a 11 de setembro de 2020. A causa raiz é o uso inseguro de AES-CFB8: a função ComputeNetlogonCredential fixa o vetor de inicialização todo a zeros em vez de o aleatorizar. Com um IV todo a zeros e um texto em claro todo a zeros, o texto cifrado é todo a zeros aproximadamente 1 em cada 256 vezes — pelo que um atacante não autenticado na rede pode fazer-se passar por qualquer máquina associada ao domínio, incluindo um Controlador de Domínio, simplesmente repetindo a tentativa.
Após contornar a autenticação, o atacante usa uma chamada Netlogon para repor a palavra-passe da conta de máquina do DC para um valor vazio e, em seguida, executa DCSync para extrair todos os hashes de credenciais (incluindo o krbtgt) e obter Domain Admin em minutos. Note-se que repor a palavra-passe do DC dessincroniza-a do Active Directory, o que pode danificar o DC se não for restaurada. A CISA emitiu a Emergency Directive 20-04, e a Microsoft impôs RPC seguro por defeito na atualização de fevereiro de 2021. Operadores de ransomware (incluindo o Ryuk) e APTs armaram-no rapidamente. Defesas: aplicar as atualizações de agosto de 2020 e fevereiro de 2021, ativar o modo de imposição do DC e monitorizar os Event IDs 5827/5829 para conexões Netlogon vulneráveis.
flowchart TD
A[Atacante não autenticado na LAN] -->|"Autenticação Netlogon forjada, IV todo a zeros"| B[Controlador de Domínio]
B --> C{"Texto cifrado = 0?<br/>(~1 em 256)"}
C -->|Não| A
C -->|Sim| D[Autenticação contornada<br/>impersonar conta de máquina do DC]
D --> E[Repor palavra-passe de máquina do DC<br/>para valor vazio]
E --> F[DCSync: extrair todos os hashes<br/>incl. krbtgt → Domain Admin]● Exemplos
- 01
Um atacante na LAN executa um exploit Zerologon, repõe a palavra-passe do DC e usa DCSync para extrair todos os hashes.
- 02
Os defensores ativam o modo de imposição do DC e monitorizam os eventos Netlogon 5829 / 5827 enquanto corrigem dispositivos legados.
● Perguntas frequentes
O que é Zerologon (CVE-2020-1472)?
Falha criptográfica no protocolo Netlogon da Microsoft que permite a um atacante na rede repor a palavra-passe de um Controlador de Domínio e tomar o Active Directory. Pertence à categoria Vulnerabilidades da cibersegurança.
O que significa Zerologon (CVE-2020-1472)?
Falha criptográfica no protocolo Netlogon da Microsoft que permite a um atacante na rede repor a palavra-passe de um Controlador de Domínio e tomar o Active Directory.
Como se defender contra Zerologon (CVE-2020-1472)?
As defesas contra Zerologon (CVE-2020-1472) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Zerologon (CVE-2020-1472)?
Nomes alternativos comuns: CVE-2020-1472, Elevação de privilégios Netlogon.