# CVE-2020-1472 - Zerologon: Bypass Criptográfico no Netlogon para Domain Admin > [!critical] CVE-2020-1472, conhecida como Zerologon, permite comprometer um Domain Controller em segundos explorando uma falha criptográfica no protocolo Netlogon — sem qualquer autenticação — obtendo imediatamente acesso de Domain Admin. ## Visão Geral CVE-2020-1472, amplamente conhecida como **Zerologon**, é uma vulnerabilidade crítica (CVSS 10.0) no protocolo de autenticação **Windows Netlogon** (MS-NRPC). A falha decorre do uso incorreto do modo AES-CFB8: ao inicializar o vetor de inicialização (IV) com zeros, um atacante pode força-bruta o desafio criptográfico do Netlogon em média com apenas 256 tentativas — tipicamente em menos de 3 segundos. O resultado é devastador: o atacante obtém a habilidade de modificar a senha do Domain Controller no AD, efetivamente tornando-se Domain Admin instantaneamente sem qualquer credencial prévia. O único requisito é conectividade de rede ao servidor DC (porta 445/UDP 135). A Zerologon foi imediatamente integrada em kits de ataque de grupos APT e ransomware. A CISA emitiu uma diretiva de emergência exigindo patch em 24 horas para agências federais norte-americanas — extremamente raro. O grupo iraniano **MuddyWater** e organizações de ransomware como **BianLian** integraram esta CVE em suas cadeias de ataque. ## Detalhes Técnicos | Campo | Valor | |-------|-------| | Tipo | Criptografia fraca — AES-CFB8 com IV zero | | Protocolo | Windows Netlogon (MS-NRPC) | | Tentativas para explorar | ~256 (média 3 segundos) | | Resultado | Senha do DC resetada — Domain Admin | | Ferramenta pública | zerologon.py (SecuraBV) | ## TTPs Relacionadas - [[t1110-brute-force|T1110]] - Força bruta no Netlogon (256 tentativas) - [[t1136-001-create-local-account|T1136]] - Comprometimento de conta de domínio - [[t1003-dcsync|T1003.006]] - DCSync após acesso de Domain Admin - [[m1026-privileged-account-management|M1026]] - Restringir acesso ao protocolo Netlogon ## Contexto LATAM > [!latam] Zerologon foi explorada por grupos de ransomware ativos na América Latina em 2020-2021, incluindo incidentes em empresas financeiras e industriais brasileiras. A facilidade de exploração — menos de 3 segundos, sem credenciais — tornou esta CVE um vetor premium em ataques direcionados a redes corporativas na região. ## Detecção e Defesa **Mitigações recomendadas:** - Aplicar patch KB4571694 imediatamente (agosto 2020) - Habilitar o modo de aplicação do Netlogon no DC (fase 2 do patch) - Monitorar tentativas de autenticação Netlogon com sessão segura desabilitada (Event ID 5829) - Bloquear acesso externo à porta 445 e RPC de redes não confiáveis **Detecção:** - Event ID 5829: Conexão vulnerável ao Netlogon (modo de compatibilidade) - Event ID 4742: Senha de conta de computador alterada abruptamente ## Referências - [SecuraBV — Zerologon White Paper](https://www.secura.com/blog/zero-logon) - [Microsoft CVE-2020-1472](https://msrc.microsoft.com/update-guide/vulnerability/CVE-2020-1472) - [CISA Emergency Directive 20-04](https://www.cisa.gov/emergency-directive-20-04)