Un nouveau type d’attaque de relais Windows NTLM appelé DFSCoerce a été découvert qui exploite le système de fichiers distribués (DFS) : protocole de gestion d’espace de noms (MS-DFSNM) pour prendre le contrôle d’un domaine.
« Service Spooler désactivé, filtres RPC installés pour empêcher PetitPotam et File Server VSS Agent Service non installé mais vous souhaitez toujours relayer [Domain Controller authentication to [Active Directory Certificate Services]? Ne vous inquiétez pas, MS-DFSNM a (sic) votre dos « , Filip Dragovic, chercheur en sécurité a dit dans un tweet.
MS-DFSNM fournit une interface d’appel de procédure à distance (RPC) pour l’administration des configurations de système de fichiers distribués.
L’attaque relais NTLM (NT Lan Manager) est une méthode bien connue qui exploite le mécanisme de défi-réponse. Il permet aux parties malveillantes de s’asseoir entre les clients et les serveurs et d’intercepter et de relayer les demandes d’authentification validées afin d’obtenir un accès non autorisé aux ressources du réseau, prenant effectivement pied dans les environnements Active Directory.
La découverte de DFSCoerce suit une méthode similaire appelée PetitPotam qui les abus Microsoft’s Encrypting File System Remote Protocol (MS-EFSRPC) pour contraindre les serveurs Windows, y compris les contrôleurs de domaine, à s’authentifier auprès d’un relais sous le contrôle d’un attaquant, permettant aux pirates de prendre potentiellement le contrôle d’un domaine entier.
« En relayant une demande d’authentification NTLM d’un contrôleur de domaine vers l’inscription Web de l’autorité de certification ou le service Web d’inscription de certificat sur un système AD CS, un attaquant peut obtenir un certificat qui peut être utilisé pour obtenir un Ticket Granting Ticket (TGT) du contrôleur de domaine », le centre de coordination CERT (CERT/CC) c’est notédétaillant le chaîne d’attaque.
Pour atténuer les attaques de relais NTLM, Microsoft recommande l’activation de protections telles que la protection étendue de l’authentification (EPA), la signature SMB et la désactivation de HTTP sur les serveurs AD CS.