可疑的 DC 密码更改
critical
语言:
描述
被称作 Zerologon 的严重 CVE-2020-1472 是一种滥用 Netlogon 协议加密漏洞的攻击,可让攻击者在任何计算机上与域控制器建立 Netlogon 安全通道。通过此攻击,攻击者可以使用多种后渗透攻击技术实现特权提升,例如修改域控制器帐户密码、强制身份验证、DCSync 攻击等。人们经常误以为 ZeroLogon 漏洞是使用实际的 Netlogon 伪造身份验证绕过的后渗透攻击活动(由 IoA“Zerologon 利用”解决)。此指标聚焦于可以结合 Netlogon 漏洞使用的后渗透攻击活动之一 :修改域控制器计算机帐户密码。
另见
Security policy settings - Domain member: Maximum machine account password age
Use Netdom.exe to reset machine account passwords of a Windows Server domain controller
Machine Account Password Process
CVE-2020-1472 | Netlogon Elevation of Privilege Vulnerability