Zerologon (CVE-2020-1472)
Что такое Zerologon (CVE-2020-1472)?
Zerologon (CVE-2020-1472)Криптографическая уязвимость в протоколе Microsoft Netlogon, позволяющая атакующему из сети сбросить машинный пароль контроллера домена и захватить Active Directory.
Zerologon (CVE-2020-1472) — критическая уязвимость повышения привилегий в Microsoft Netlogon Remote Protocol, опубликованная Secura в августе 2020 года. Ошибка связана с неверным использованием AES-CFB8 с нулевым IV в аутентификации Netlogon, что позволяет атакующему в корпоративной сети выдавать себя за любой компьютер домена, включая контроллер домена. Многократно отправляя поддельные запросы аутентификации, злоумышленник сбрасывает пароль учётки контроллера до пустого значения, выгружает учётные данные и получает Domain Admin за минуты. CISA выпустила экстренную директиву, а Microsoft внедрила обязательный Secure RPC поэтапно к февралю 2021 года. Группы вымогателей и APT активно использовали Zerologon против непропатченных сетей.
● Примеры
- 01
Атакующий в LAN запускает Zerologon, сбрасывает пароль контроллера домена и через DCSync извлекает все хеши.
- 02
Защитники включают режим enforcement и мониторят события Netlogon 5829 / 5827, дополняя обновления для устаревших устройств.
● Частые вопросы
Что такое Zerologon (CVE-2020-1472)?
Криптографическая уязвимость в протоколе Microsoft Netlogon, позволяющая атакующему из сети сбросить машинный пароль контроллера домена и захватить Active Directory. Относится к категории Уязвимости в кибербезопасности.
Что означает Zerologon (CVE-2020-1472)?
Криптографическая уязвимость в протоколе Microsoft Netlogon, позволяющая атакующему из сети сбросить машинный пароль контроллера домена и захватить Active Directory.
Как работает Zerologon (CVE-2020-1472)?
Zerologon (CVE-2020-1472) — критическая уязвимость повышения привилегий в Microsoft Netlogon Remote Protocol, опубликованная Secura в августе 2020 года. Ошибка связана с неверным использованием AES-CFB8 с нулевым IV в аутентификации Netlogon, что позволяет атакующему в корпоративной сети выдавать себя за любой компьютер домена, включая контроллер домена. Многократно отправляя поддельные запросы аутентификации, злоумышленник сбрасывает пароль учётки контроллера до пустого значения, выгружает учётные данные и получает Domain Admin за минуты. CISA выпустила экстренную директиву, а Microsoft внедрила обязательный Secure RPC поэтапно к февралю 2021 года. Группы вымогателей и APT активно использовали Zerologon против непропатченных сетей.
Как защититься от Zerologon (CVE-2020-1472)?
Защита от Zerologon (CVE-2020-1472) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Zerologon (CVE-2020-1472)?
Распространённые альтернативные названия: CVE-2020-1472, Netlogon EoP.
● Связанные термины
- identity-access№ 013
Active Directory
Корпоративная служба каталогов Microsoft для сетей Windows, обеспечивающая централизованную аутентификацию, авторизацию и управление политиками для пользователей, компьютеров и ресурсов.
- vulnerabilities№ 860
Повышение привилегий
Класс уязвимостей, позволяющий злоумышленнику получить права выше предоставленных изначально, например перейти от обычного пользователя к администратору.