Un nuevo tipo de ataque de retransmisión NTLM de Windows denominado Coacción DFS se ha descubierto que aprovecha el Sistema de archivos distribuidos (DFS): Protocolo de administración de espacio de nombres (MS-DFSNM) para tomar el control de un dominio.
«Servicio de cola de impresión deshabilitado, filtros RPC instalados para evitar que PetitPotam y el servicio de agente VSS del servidor de archivos no estén instalados, pero aún desea retransmitir [Domain Controller authentication to [Active Directory Certificate Services]? No se preocupe, MS-DFSNM tiene (sic) su respaldo», el investigador de seguridad Filip Dragovic dijo en un tuit.
MS-DFSNM proporciona una interfaz de llamada a procedimiento remoto (RPC) para administrar configuraciones de sistemas de archivos distribuidos.
El ataque de retransmisión NTLM (NT Lan Manager) es un método bien conocido que explota el mecanismo de desafío-respuesta. Permite que partes malintencionadas se sitúen entre clientes y servidores e intercepten y transmitan solicitudes de autenticación validadas para obtener acceso no autorizado a los recursos de la red, logrando así un punto de apoyo inicial en los entornos de Active Directory.
El descubrimiento de DFSCoerce sigue un método similar llamado PetitPotam que abusos Protocolo remoto del sistema de cifrado de archivos de Microsoft (MS-EFSRPC) para coaccionar
Los servidores de Windows, incluidos los controladores de dominio, se autentican con un relé bajo el control de un atacante, lo que permite que los actores de amenazas se apoderen potencialmente de un dominio completo.
«Al transmitir una solicitud de autenticación NTLM desde un controlador de dominio a la inscripción web de la autoridad de certificación o al servicio web de inscripción de certificados en un sistema AD CS, un atacante puede obtener un certificado que se puede usar para obtener un vale de concesión de vales (TGT) de la controlador de dominio», el Centro de Coordinación CERT (CERT/CC) señaladodetallando la cadena de ataque.
Para mitigar los ataques de retransmisión NTLM, Microsoft recomienda habilitando protecciones como la protección extendida para la autenticación (EPA), la firma SMB y la desactivación de HTTP en los servidores AD CS.