Détections

Configuration non sécurisée du protocole Netlogon

critical

Langue :

Description

La vulnérabilité décrite par la CVE-2020-1472 ("Zerologon") permet à un attaquant non authentifié d'établir une connexion avec un contrôleur de domaine afin d'obtenir un accès administrateur de domaine.

Solution

La clé de registre permettant de forcer l'utilisation d'appels RPC sécurisés pour le protocole Netlogon devrait être appliquée sur l'ensemble des DC de la forêt.

Voir aussi

CVE-2020-1472 | Vulnérabilité d'élévation de privilèges dans NetLogon

Comment gérer les modifications apportées aux connexions de canaux sécurisés Netlogon associées à CVE-2020-1472

[MS-NRPC]: Netlogon Remote Protocol

[Blog] Zerologon: instantly become domain admin by subverting Netlogon cryptography (CVE-2020-1472)

Détails de l'indicateur

Nom: Configuration non sécurisée du protocole Netlogon

Nom de code: C-NETLOGON-SECURITY

Sévérité: Critical

Type: Active Directory Indicator of Exposure

Informations MITRE ATT&CK:

Tactique: TA0008 - Lateral Movement
- Techniques: T1210 - Exploitation of Remote Services

Outils connus des attaquants

Dirk-jan Mollema: CVE-2020-1472 POC

Benjamin Delpy: Mimikatz - LsaDump Zerologon