Netlogon プロトコルの安全でない設定
critical
Language:
説明
CVE-2020-1472 ( [Zerologon] )に記述されている脆弱性のため、認証されていない攻撃者がドメインコントローラーに接続して、ドメイン管理者アクセスを取得することが可能になっています。
ソリューション
Netlogon プロトコルの安全な RPC 呼び出しを強制するレジストリキーが、フォレスト内の全 DC に適用されているべきです。
参考資料
CVE-2020-1472 | Netlogonによる特権の昇格の脆弱性
CVE-2020-1472に伴うNetlogonの安全なチャネル接続の変更を管理する方法
[MS-NRPC]: Netlogon Remote Protocol
[Blog] Zerologon: instantly become domain admin by subverting Netlogon cryptography (CVE-2020-1472)
インジケーターの詳細
名前: Netlogon プロトコルの安全でない設定
コード名: C-NETLOGON-SECURITY
深刻度: Critical
- 戦術: TA0008 - ラテラルムーブメント
- テクニック: T1210 - リモートサービスの悪用
攻撃者の既知のツール
Dirk-jan Mollema: CVE-2020-1472 POC
Benjamin Delpy: Mimikatz - LsaDump Zerologon