CVE-2020-1472 POC

Mimikatz - LsaDump Zerologon

<p>CVE-2020-1472 („Zerologon“) wirkt sich auf das Netlogon-Protokoll aus und ermöglicht die Heraufstufung von Berechtigungen</p>


<p>Die unter CVE-2020-1472 („Zerologon“) beschriebene Schwachstelle ermöglicht einem nicht authentifizierten Angreifer das Herstellen einer Verbindung mit einem Domänencontroller, um Domänenadministratorzugriff zu erhalten.</p>


Ungesicherte Konfiguration des Netlogon-Protokolls

Ein Angreifer könnte CVE-2020-1472 ausnutzen und die Infrastruktur kompromittieren. Wenn das Update vom 09.02.2021 in dieser Domäne bereitgestellt wurde, ist der Registrierungsschlüssel nicht mehr erforderlich.

Der Registrierungsschlüssel zum Erzwingen der Verwendung des sicheren RPC im Netlogon-Protokoll ist nicht konfiguriert

Ein Angreifer könnte CVE-2020-1472 auf einem der Computer ausnutzen, die Mitglied der vom GPO autorisierten Gruppe sind, und die Infrastruktur kompromittieren. Diese Ausnahme macht die Gesamtstruktur anfällig für einen Angriff.

Konten einer Gruppe, die zum Herstellen anfälliger Netlogon-Verbindungen autorisiert ist

Ein Angreifer könnte CVE-2020-1472 auf einem der vom GPO autorisierten Computer ausnutzen und die Infrastruktur kompromittieren. Diese Ausnahme macht die Gesamtstruktur anfällig für einen Angriff.

Konten, die zum Herstellen anfälliger Netlogon-Verbindungen autorisiert sind

Ein Angreifer könnte CVE-2020-1472 ausnutzen und die Infrastruktur kompromittieren. Ein einzelner DC in der Gesamtstruktur, der diese anfälligen Verbindungen nicht verweigert, kann als Einstiegspunkt verwendet werden. Wenn das Update vom 09.02.2021 in dieser Domäne bereitgestellt wurde, ist dieser Registrierungsschlüssel nicht mehr erforderlich.

Erkennungen

Ungesicherte Konfiguration des Netlogon-Protokolls

critical

Beschreibung

Lösung

Siehe auch

Indikatordetails

Bekannte Tools von Angreifern