A CISA emitiu a Emergency Directive 20-04 para que agências civis federais dos Estados Unidos corrijam a vulnerabilidade CVE-2020-1472, conhecida como Zerologon, em controladores de domínio Windows.1 A falha afeta o Microsoft Windows Netlogon Remote Protocol, componente central de autenticação do Active Directory.

O alerta é severo porque um atacante não autenticado com acesso de rede a um domain controller pode explorar a vulnerabilidade para comprometer todos os serviços de identidade do Active Directory, segundo a CISA.2 Em ambientes corporativos, isso significa caminho direto para domínio, credenciais, políticas e movimento lateral.

Domain controller é raiz de confiança

Active Directory costuma ser a espinha dorsal de identidade em redes Windows. Controladores de domínio autenticam usuários, máquinas e serviços, distribuem políticas e sustentam permissões para aplicações internas. Quando essa camada cai, a organização perde a capacidade de confiar em sessões, contas e administração.

Por isso, Zerologon não deve ser tratado como patch comum de servidor. Ele atinge a raiz de confiança. Um invasor que toma controle de um domain controller pode criar ou alterar credenciais, acessar sistemas dependentes e persistir de formas difíceis de detectar. A mitigação precisa ser priorizada acima de atualizações rotineiras.

A CISA destaca que a atualização de agosto da Microsoft é a mitigação aplicável para controladores de domínio, além de remover sistemas afetados da rede.1 Isso coloca inventário no centro da resposta: cada domain controller, inclusive secundários e ambientes esquecidos, precisa entrar no plano.

Exploit público reduz janela de reação

A urgência aumentou porque código de exploração se tornou público. Quando uma vulnerabilidade crítica passa de advisory para exploração reproduzível, o tempo entre publicação, varredura e ataque cai rapidamente. Organizações que dependem de calendários mensais lentos ficam expostas.

O trabalho de resposta deve combinar patch, validação e monitoramento. Aplicar atualização em todos os domain controllers é o primeiro passo. Depois, equipes precisam confirmar versão, observar eventos relacionados a conexões Netlogon vulneráveis, revisar logs de autenticação e investigar qualquer sinal de abuso de credenciais.

Também é necessário coordenar impacto em dispositivos legados. Mudanças em Netlogon podem afetar equipamentos, appliances ou sistemas antigos que ainda usam canais inseguros. Esse risco não justifica adiar correção, mas exige comunicação entre infraestrutura, segurança e áreas donas de aplicações críticas.

Identidade precisa de plano de emergência

Zerologon reforça uma fragilidade comum: muitas organizações têm runbooks para malware, indisponibilidade de aplicação e vazamento de dados, mas não para comprometimento da infraestrutura de identidade. Quando o domínio está em risco, as perguntas mudam: quais contas administrativas são confiáveis? Como restaurar controladores? Quais segredos precisam ser rotacionados? Que sistemas dependem de autenticação Windows?

O plano deve incluir segmentação de rede para domain controllers, restrição de acesso administrativo, backups testados, MFA para contas privilegiadas, tiering administrativo e monitoramento de alterações sensíveis. Patching é indispensável, mas não substitui arquitetura defensiva.

A diretiva da CISA funciona como sinal para todo o setor, não apenas para agências federais. Se um ambiente usa Active Directory, a prioridade é objetiva: identificar controladores de domínio, aplicar a atualização da Microsoft e verificar evidência de exposição. Em identidade corporativa, atraso de correção vira risco de controle total do ambiente.

  1. CISA, "ED 20-04: Mitigate Netlogon Elevation of Privilege Vulnerability from August 2020 Patch Tuesday", 18 set. 2020.
  2. CISA, "CISA Releases Emergency Directive on Microsoft Windows Netlogon Remote Protocol", 18 set. 2020.