Alle støttede versjoner av Windows Server som ikke har fått august 2020-oppdateringen fra Microsoft skal være sårbare. Sårbarheten tillater en uautentisert angriper i nettverket å oppnå administratortilgang på domenekontrolleren.

Angrepet utnytter en svakhet i en Netlogon-protokollen, som bekrefter identiteten til en maskin som kobler seg til domenekontrolleren. Ved å forfalske en autentiseringstoken er det mulig å endre passordet på en domenekontroller til en kjent verdi. Etter dette vil angriper kunne bruke det nye passordet til å ta kontroll over domenekontrolleren og tilegne seg påloggingsdetaljene til en domeneadministrator.

Sårbarheten ble mitigert i sikkerhetsoppdateringene for august 2020 og NCSC anbefaler alle som ikke enda har gjort dette å installere disse på alle domenekontrollere. Secura har sluppet et verktøy for å sjekke om domenekontrollere er sårbare1.

NCSC er ikke kjent med aktiv utnyttelse av sårbarheten, men utnyttelseskode skal være offentlig tilgjengelig2.

Referanser:
https://github.com/SecuraBV/CVE-2020-1472
2https://twitter.com/wdormann/status/1305564045282598912
3https://www.secura.com/blog/zero-logon