Cambio sospechoso de contraseña de controlador de dominio
critical
Idioma:
Descripción
La CVE-2020-1472 crítica denominada Zerologon es un ataque que se aprovecha de un error de criptografía en el protocolo de Netlogon, lo que permite que un atacante suplante cualquier equipo y establezca un canal de Netlogon seguro con un controlador de dominio. Desde allí, pueden usarse varias técnicas posteriores a la explotación con el fin de lograr el escalamiento de privilegios, como el cambio de contraseña de la cuenta del controlador de dominio, la autenticación forzada, ataques DCSync y otros. El exploit ZeroLogon suele confundirse con las actividades posteriores a la explotación que usan la autenticación de Netlogon real falsificada (que se trata en el indicador de ataque “Explotación de Zerologon”). Este indicador se centra en una de las actividades posteriores a la explotación que pueden usarse junto con la vulnerabilidad Netlogon: la modificación de la contraseña de la cuenta de máquina del controlador de dominio.
Consulte también
CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability
Security policy settings - Domain member: Maximum machine account password age
Use Netdom.exe to reset machine account passwords of a Windows Server domain controller