Verdächtige Änderung des DC-Passworts
critical
Sprache:
Beschreibung
Die kritische CVE-2020-1472 namens Zerologon ist ein Angriff, der einen Kryptographiefehler im Netlogon-Protokoll missbraucht, der es einem Angreifer ermöglicht, als beliebiger Computer einen sicheren Netlogon-Kanal mit einem Domänencontroller aufzubauen. Dann kann mit verschiedenen Post-Exploitation-Verfahren eine Rechteausweitung erzielt werden, zum Beispiel eine Änderung des Passworts des Domänencontroller-Kontos, erzwungene Authentifizierung, DCSync-Angriffe und andere. Der ZeroLogon-Exploit wird oft mit den Post-Exploitation-Aktivitäten verwechselt, die die tatsächliche gefälschte Netlogon-Authentifizierungsumgehung verwenden (adressiert vom IOA „Zerologon-Ausnutzung“). Dieser Indikator fokussiert sich auf eine der Post-Exploitation-Aktivitäten, die mit der Netlogon-Schwachstelle verwendet werden können: die Modifizierung des Kontopassworts für den Domänencontroller-Rechner.
Siehe auch
CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability
Security policy settings - Domain member: Maximum machine account password age
Use Netdom.exe to reset machine account passwords of a Windows Server domain controller