Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 1407

Zerologon (CVE-2020-1472)

审核人Cybersecurity entrepreneur & security researcher

Zerologon (CVE-2020-1472) 是什么?

Zerologon (CVE-2020-1472)Microsoft Netlogon 协议中的密码学缺陷,允许网络攻击者重置域控的机器密码并接管 Active Directory。


Zerologon(CVE-2020-1472,CVSS 10.0)是 Microsoft Netlogon 远程协议(MS-NRPC)中的一个严重权限提升漏洞。微软在 2020 年 8 月的补丁星期二中修复了它,Secura 公司的 Tom Tervoort 则在 2020 年 9 月 11 日发布了完整的技术分析。其根本原因在于对 AES-CFB8 的不安全使用:ComputeNetlogonCredential 函数将初始化向量固定为全零,而非对其进行随机化。在全零 IV 与全零明文的情况下,密文大约每 256 次中有 1 次为全零——因此网络中一个未经认证的攻击者只需不断重试,便可冒充任何加入域的计算机,包括域控制器。

绕过认证后,攻击者会通过一次 Netlogon 调用,将域控的机器账户密码重置为空值,随后执行 DCSync 转储每一个凭据哈希(包括 krbtgt),并在数分钟内取得 Domain Admin 权限。需要注意的是,重置域控密码会使其与 Active Directory 失去同步,若不加以恢复,可能导致域控故障。CISA 发布了紧急指令 20-04,微软则在 2021 年 2 月的更新中默认强制启用安全 RPC。勒索软件运营者(包括 Ryuk)与 APT 迅速将其武器化。防御措施:同时应用 2020 年 8 月与 2021 年 2 月的更新,启用 DC 强制模式,并监控事件 ID 5827/5829 以发现有漏洞的 Netlogon 连接。

flowchart TD
  A[内网中未认证的攻击者] -->|"伪造的 Netlogon 认证,全零 IV"| B[域控制器]
  B --> C{"密文 = 0?<br/>(约 256 分之 1)"}
  C -->|否| A
  C -->|是| D[认证被绕过<br/>冒充域控机器账户]
  D --> E[将域控机器密码<br/>重置为空值]
  E --> F[DCSync:转储全部哈希<br/>含 krbtgt → Domain Admin]

示例

  1. 01

    攻击者在内网执行 Zerologon,重置域控密码,并使用 DCSync 导出全部哈希。

  2. 02

    防御方在为旧设备打补丁期间启用 DC 强制模式,并监控 Netlogon 5829 / 5827 事件。

常见问题

Zerologon (CVE-2020-1472) 是什么?

Microsoft Netlogon 协议中的密码学缺陷,允许网络攻击者重置域控的机器密码并接管 Active Directory。 它属于网络安全的 漏洞 分类。

Zerologon (CVE-2020-1472) 是什么意思?

Microsoft Netlogon 协议中的密码学缺陷,允许网络攻击者重置域控的机器密码并接管 Active Directory。

如何防御 Zerologon (CVE-2020-1472)?

针对 Zerologon (CVE-2020-1472) 的防御通常结合技术控制与运营实践,详见上方完整定义。

Zerologon (CVE-2020-1472) 还有哪些其他名称?

常见的别称包括: CVE-2020-1472, Netlogon 权限提升。

相关术语