CVE-2020-1472 POC

Mimikatz - LsaDump Zerologon

<p>La CVE-2020-1472 ("Zerologon") affecte le protocole Netlogon et permet une élévation de privilèges.</p>


<p>La vulnérabilité décrite par la CVE-2020-1472 ("Zerologon") permet à un attaquant non authentifié d'établir une connexion avec un contrôleur de domaine afin d'obtenir un accès administrateur de domaine.</p>


Mouvement latéral

Exploitation de services distants

Configuration non sécurisée du protocole Netlogon

Un attaquant est susceptible d'exploiter la CVE-2020-1472 et de compromettre l'infrastructure. Si la mise à jour du 09/02/2021 a été déployée sur ce domaine, cette clef registre n'est plus nécessaire.

La clé de registre forçant l'utilisation de RPC sécurisés dans le protocole Netlogon n'est pas configurée

Un attaquant est susceptible d'exploiter la CVE-2020-1472 sur l'une des machines membre du groupe autorisé par la GPO et de compromettre l'infrastructure. La mise en place d'une telle exception rend la forêt vulnérable aux attaques.

Comptes appartenant à un groupe autorisé pour établir des connexions Netlogon vulnérables

Un attaquant est susceptible d'exploiter la CVE-2020-1472 sur l'une des machines autorisée par la GPO et de compromettre l'infrastructure. La mise en place d'une telle exception rend la forêt vulnérable aux attaques.

Comptes autorisés à établir des connexions Netlogon vulnérables

Un attaquant est susceptible d'exploiter la CVE-2020-1472 et de compromettre l'infrastructure. Un seul DC de la forêt ne refusant pas ces connexions vulnérables peut servir de point d'entrée. Si la mise à jour du 09/02/2021 a été déployée sur ce domaine, cette clé registre n'est plus nécessaire.

Détections

Configuration non sécurisée du protocole Netlogon

critical

Description

Solution

Voir aussi

Détails de l'indicateur

Outils connus des attaquants