Ungesicherte Konfiguration des Netlogon-Protokolls
critical
Sprache:
Beschreibung
Die unter CVE-2020-1472 („Zerologon“) beschriebene Schwachstelle ermöglicht einem nicht authentifizierten Angreifer das Herstellen einer Verbindung mit einem Domänencontroller, um Domänenadministratorzugriff zu erhalten.
Lösung
Der Registrierungsschlüssel zum Erzwingen sicherer RPC-Aufrufe für das Netlogon-Protokoll sollte auf alle DCs in der Gesamtstruktur angewendet werden.
Siehe auch
CVE-2020-1472 | Sicherheitsanfälligkeit in Netlogon bezüglich Rechteerweiterungen
Verwalten von Änderungen in Netlogon Secure Channel-Verbindungen mit CVE-2020-1472
[MS-NRPC]: Netlogon Remote Protocol
[Blog] Zerologon: instantly become domain admin by subverting Netlogon cryptography (CVE-2020-1472)
Indikatordetails
Name: Ungesicherte Konfiguration des Netlogon-Protokolls
Codename: C-NETLOGON-SECURITY
Schweregrad: Critical
- Taktiken: TA0008 – Lateral Movement -
- Techniken: T1210 – Ausnutzung von Remote-Services -
Bekannte Tools von Angreifern
Dirk-jan Mollema: CVE-2020-1472 POC
Benjamin Delpy: Mimikatz - LsaDump Zerologon