Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 1407

Zerologon (CVE-2020-1472)

ПроверилCybersecurity entrepreneur & security researcher

Что такое Zerologon (CVE-2020-1472)?

Zerologon (CVE-2020-1472)Криптографическая уязвимость в протоколе Microsoft Netlogon, позволяющая атакующему из сети сбросить машинный пароль контроллера домена и захватить Active Directory.


Zerologon (CVE-2020-1472, CVSS 10.0) — это критическая уязвимость повышения привилегий в протоколе Microsoft Netlogon Remote Protocol (MS-NRPC). Microsoft исправила её в августовском Patch Tuesday 2020 года, а Том Тервоорт из Secura опубликовал полный технический анализ 11 сентября 2020 года. Первопричина — небезопасное использование AES-CFB8: функция ComputeNetlogonCredential фиксирует вектор инициализации в виде сплошных нулей вместо его рандомизации. При нулевом IV и нулевом открытом тексте шифртекст оказывается нулевым примерно в 1 из 256 случаев — поэтому неаутентифицированный атакующий в сети может выдать себя за любой компьютер домена, включая контроллер домена, просто повторяя попытки.

Обойдя аутентификацию, атакующий с помощью вызова Netlogon сбрасывает пароль машинной учётной записи контроллера домена до пустого значения, затем выполняет DCSync, чтобы выгрузить хеши всех учётных данных (включая krbtgt) и получить права Domain Admin за минуты. Важно: сброс пароля контроллера десинхронизирует его с Active Directory, что может вывести контроллер из строя, если не восстановить пароль. CISA выпустила экстренную директиву Emergency Directive 20-04, а Microsoft сделала Secure RPC обязательным по умолчанию в обновлении февраля 2021 года. Операторы вымогательского ПО (включая Ryuk) и APT-группы оперативно взяли уязвимость на вооружение. Защита: установка обоих обновлений — за август 2020 и февраль 2021, включение режима enforcement на контроллере домена и мониторинг Event ID 5827/5829 на предмет уязвимых подключений Netlogon.

flowchart TD
  A[Неаутентифицированный атакующий в LAN] -->|"Поддельная аутентификация Netlogon, нулевой IV"| B[Контроллер домена]
  B --> C{"Шифртекст = 0?<br/>(~1 из 256)"}
  C -->|Нет| A
  C -->|Да| D[Аутентификация обойдена<br/>имперсонация машинной учётки контроллера]
  D --> E[Сброс машинного пароля контроллера<br/>до пустого значения]
  E --> F[DCSync: выгрузка всех хешей<br/>вкл. krbtgt → Domain Admin]

Примеры

  1. 01

    Атакующий в LAN запускает Zerologon, сбрасывает пароль контроллера домена и через DCSync извлекает все хеши.

  2. 02

    Защитники включают режим enforcement на контроллере домена и мониторят события Netlogon 5829 / 5827, пока патчат устаревшие устройства.

Частые вопросы

Что такое Zerologon (CVE-2020-1472)?

Криптографическая уязвимость в протоколе Microsoft Netlogon, позволяющая атакующему из сети сбросить машинный пароль контроллера домена и захватить Active Directory. Относится к категории Уязвимости в кибербезопасности.

Что означает Zerologon (CVE-2020-1472)?

Криптографическая уязвимость в протоколе Microsoft Netlogon, позволяющая атакующему из сети сбросить машинный пароль контроллера домена и захватить Active Directory.

Как защититься от Zerologon (CVE-2020-1472)?

Защита от Zerologon (CVE-2020-1472) обычно сочетает технические меры и операционные практики, как описано в определении выше.

Какие есть другие названия Zerologon (CVE-2020-1472)?

Распространённые альтернативные названия: CVE-2020-1472, Netlogon EoP.

Связанные термины