Zerologon (CVE-2020-1472)
Zerologon (CVE-2020-1472) 是什么?
Zerologon (CVE-2020-1472)Microsoft Netlogon 协议中的密码学缺陷,允许网络攻击者重置域控的机器密码并接管 Active Directory。
Zerologon 编号 CVE-2020-1472,是 Secura 于 2020 年 8 月披露的 Microsoft Netlogon 远程协议中的关键权限提升漏洞。漏洞源于在 Netlogon 认证中错误地使用 AES-CFB8 算法并采用全零 IV,使企业网络中的攻击者可以冒充任何加入域的计算机,包括域控制器。通过反复发送伪造的认证请求,攻击者可将域控机器账户密码重置为空,接着导出凭据,数分钟内获取 Domain Admin 权限。CISA 发布了紧急指令,微软在 2021 年 2 月发布了强制安全 RPC 的分阶段补丁。勒索软件团伙和 APT 大规模利用 Zerologon 攻击未打补丁的网络。
● 示例
- 01
攻击者在内网执行 Zerologon,重置域控密码,并使用 DCSync 导出全部哈希。
- 02
防御方在为旧设备打补丁期间启用 DC 强制模式,并监控 Netlogon 5829 / 5827 事件。
● 常见问题
Zerologon (CVE-2020-1472) 是什么?
Microsoft Netlogon 协议中的密码学缺陷,允许网络攻击者重置域控的机器密码并接管 Active Directory。 它属于网络安全的 漏洞 分类。
Zerologon (CVE-2020-1472) 是什么意思?
Microsoft Netlogon 协议中的密码学缺陷,允许网络攻击者重置域控的机器密码并接管 Active Directory。
Zerologon (CVE-2020-1472) 是如何工作的?
Zerologon 编号 CVE-2020-1472,是 Secura 于 2020 年 8 月披露的 Microsoft Netlogon 远程协议中的关键权限提升漏洞。漏洞源于在 Netlogon 认证中错误地使用 AES-CFB8 算法并采用全零 IV,使企业网络中的攻击者可以冒充任何加入域的计算机,包括域控制器。通过反复发送伪造的认证请求,攻击者可将域控机器账户密码重置为空,接着导出凭据,数分钟内获取 Domain Admin 权限。CISA 发布了紧急指令,微软在 2021 年 2 月发布了强制安全 RPC 的分阶段补丁。勒索软件团伙和 APT 大规模利用 Zerologon 攻击未打补丁的网络。
如何防御 Zerologon (CVE-2020-1472)?
针对 Zerologon (CVE-2020-1472) 的防御通常结合技术控制与运营实践,详见上方完整定义。
Zerologon (CVE-2020-1472) 还有哪些其他名称?
常见的别称包括: CVE-2020-1472, Netlogon 权限提升。