不審な DC パスワードの変更

critical

Language:

説明

Zerologon と名付けられた重大な CVE-2020-1472 は、Netlogon プロトコルの暗号化の欠陥を悪用する攻撃であり、攻撃者は任意のコンピューターと同様にドメインコントローラーを使用して Netlogon の安全なチャネルを確立できます。そこから、ドメインコントローラーアカウントのパスワード変更、強制認証、DCSync 攻撃など、複数の侵入後のテクニックを使用して権限昇格を実現する可能性があります。ZeroLogon エクスプロイトは、実際の Netlogon 偽装認証バイパス (IOA「Zerologon 悪用」により対処済み) を使用した侵入後の活動と混同されることがしばしばあります。このインジケーターは、Netlogon 脆弱性と合わせて利用できる侵入後の活動の 1 つ、すなわちドメインコントローラーマシンのアカウントパスワードの変更に焦点を当てています。

参考資料

CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability

MITRE ATT&CK description

Security policy settings - Domain member: Maximum machine account password age

Use Netdom.exe to reset machine account passwords of a Windows Server domain controller

Machine Account Password Process

インジケーターの詳細

名前: 不審な DC パスワードの変更

コード名: I-DcPasswordChange

深刻度: Critical

MITRE ATT&CK 情報:

ID: T1210
サブテクニック: T1210
戦術: TA0008