Changement de mot de passe suspect sur un DC
critical
Langue :
Description
La faille de sécurité critique CVE-2020-1472, nommée Zerologon, est une attaque qui exploite une faille de cryptographie dans le protocole Netlogon, permettant à un attaquant d'établir un Netlogon canal sécurisé avec un contrôleur de domaine depuis n'importe quel ordinateur. À partir de là, plusieurs techniques de post-exploitation peuvent être utilisées pour obtenir une élévation de privilèges, telles que le changement de mot de passe du compte du contrôleur de domaine, l'authentification forcée, les attaques DCSync, et autres. L'exploit ZeroLogon est souvent confondu avec les activités de post-exploitation utilisant le véritable contournement d'authentification falsifié Netlogon (traité par l'IOA 'Exploitation Zerologon'). Cet indicateur se concentre sur l'une des activités de post-exploitation pouvant être utilisées conjointement avec la vulnérabilité Netlogon : la modification du mot de passe du compte machine du contrôleur de domaine.
Voir aussi
Machine Account Password Process
Security policy settings - Domain member: Maximum machine account password age
Use Netdom.exe to reset machine account passwords of a Windows Server domain controller
CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability