Detecciones

Configuración sin protección del protocolo Netlogon

critical

Idioma:

Descripción

La vulnerabilidad descrita en CVE-2020-1472 (“Zerologon”) permite que un atacante sin autenticar se conecte a un controlador de dominio para obtener acceso de administrador al dominio.

Solución

La clave del registro que fuerza las llamadas RPC seguras para el protocolo Netlogon debe aplicarse en todos los controladores de dominio del bosque.

Consulte también

CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability (texto en inglés)

Cómo administrar los cambios en conexiones de canal seguro de Netlogon asociadas con CVE-2020-1472

[MS-NRPC]: Netlogon Remote Protocol

[Blog] Zerologon: instantly become domain admin by subverting Netlogon cryptography (CVE-2020-1472)

Detalles del indicador

Nombre: Configuración sin protección del protocolo Netlogon

Nombre en clave: C-NETLOGON-SECURITY

Gravedad: Critical

Tipo: Active Directory Indicator of Exposure

Family: Higiene y ciclo de vida

Información de MITRE ATT&CK:

Táctica: TA0008 - Lateral Movement (texto en inglés)
- Técnicas: T1210 - Exploitation of Remote Services (texto en inglés)

Herramientas conocidas de atacantes

Dirk-jan Mollema: CVE-2020-1472 POC

Benjamin Delpy: Mimikatz - LsaDump Zerologon