Yeni bir tür Windows NTLM geçiş saldırısı DFSCoerce bir etki alanının kontrolünü ele geçirmek için Dağıtılmış Dosya Sistemi’nden (DFS): Ad Alanı Yönetim Protokolü’nden (MS-DFSNM) yararlandığı ortaya çıkarıldı.
“Biriktirici hizmeti devre dışı, PetitPotam’ı önlemek için RPC filtreleri yüklendi ve Dosya Sunucusu VSS Aracı Hizmeti yüklenmedi ancak yine de geçiş yapmak istiyorsunuz [Domain Controller authentication to [Active Directory Certificate Services]? Endişelenmeyin, MS-DFSNM arkanızda (aynen) var,” güvenlik araştırmacısı Filip Dragovic söz konusu bir tweet’te.
MS-DFSNM dağıtılmış dosya sistemi yapılandırmalarını yönetmek için bir uzaktan yordam çağrısı (RPC) arabirimi sağlar.
NTLM (NT Lan Manager) geçiş saldırısı, sorgulama-yanıt mekanizmasından yararlanan iyi bilinen bir yöntemdir. Kötü niyetli tarafların istemciler ve sunucular arasında oturmasına ve ağ kaynaklarına yetkisiz erişim elde etmek için doğrulanmış kimlik doğrulama isteklerini engellemesine ve iletmesine izin vererek, Active Directory ortamlarında etkin bir başlangıç noktası elde eder.
DFSCoerce’in keşfi, PetitPotam adlı benzer bir yöntemi takip eder. suistimaller Etki alanı denetleyicileri de dahil olmak üzere Windows sunucularını bir saldırganın kontrolü altındaki bir geçişle kimlik doğrulaması yapmaya zorlamak için Microsoft’un Şifreleme Dosya Sistemi Uzak Protokolü (MS-EFSRPC), tehdit aktörlerinin potansiyel olarak tüm bir etki alanını ele geçirmesine izin verir.
“Bir etki alanı denetleyicisinden bir NTLM kimlik doğrulama isteğini bir AD CS sistemindeki Sertifika Yetkilisi Web Kaydı veya Sertifika Kaydı Web Hizmeti’ne ileterek, saldırgan, etki alanı denetleyicisi,” CERT Koordinasyon Merkezi (CERT/CC) kayıt edilmişdetaylandırma saldırı zinciri.
NTLM geçiş saldırılarını azaltmak için Microsoft tavsiye eder Kimlik Doğrulama için Genişletilmiş Koruma (EPA), SMB imzalama ve AD CS sunucularında HTTP’yi kapatma gibi korumaları etkinleştirme.