CVE-2020-1472 POC

Mimikatz - LsaDump Zerologon

<p>CVE-2020-1472("Zerologon")는 Netlogon 프로토콜에 영향을 미치고 권한 상승을 허용합니다.</p>


<p>CVE-2020-1472("Zerologon")에서 설명한 취약성은 인증되지 않은 공격자가 도메인 컨트롤러에 연결해서 도메인 관리자 액세스 권한을 획득하도록 합니다.</p>


내부 확산 이동

원격 서비스 악용

Netlogon 프로토콜의 구성이 안전하지 못함

공격자는 CVE-2020-1472를 악용하고 인프라를 손상할 수 있습니다. 이 취약한 연결을 거주하지 않는 포리스트에 있는 DC 한 개가 진입점으로 사용될 수 있습니다. 2021년 2월 9일 업데이트가 이 도메인에 배포된 경우, 이 레지스트리 키는 더 이상 필요하지 않습니다.

레지스트리 키가 포리스트의 모든 도메인에 배포되지 않음

공격자가 GPO에서 승인한 컴퓨터 중 하나에서 CVE-2020-1472를 악용하고 인프라를 손상할 수 있습니다. 이 예외로 인해 포리스트가 공격에 취약해집니다.

취약한 Netlogon 연결을 설정하도록 승인된 계정

공격자는 CVE-2020-1472를 악용하고 인프라를 손상할 수 있습니다. 2021년 2월 9일 업데이트를 이 도메인에 배포한 경우, 레지스트리 키는 더 이상 필요하지 않습니다.

Netlogon 프로토콜에서 보안 RPC 사용을 강제하는 레지스트리 키가 구성되지 않음

공격자가 GPO에서 승인한 그룹 멤버인 컴퓨터 중 하나에서 CVE-2020-1472를 악용하고 인프라를 손상할 수 있습니다. 이 예외로 인해 포리스트가 공격에 취약해집니다.

탐지

Netlogon 프로토콜의 구성이 안전하지 못함

critical

설명

솔루션

참고 항목

지표 세부 정보

공격자가 알려진 도구