Một loại tấn công chuyển tiếp Windows NTLM mới có tên là DFSCoerce đã được phát hiện sử dụng Hệ thống tệp phân tán (DFS): Giao thức quản lý không gian tên (MS-DFSNM) để chiếm quyền kiểm soát miền.
“Dịch vụ bộ đệm bị vô hiệu hóa, bộ lọc RPC được cài đặt để ngăn PetitPotam và Máy chủ tệp VSS Dịch vụ tác nhân không được cài đặt nhưng bạn vẫn muốn chuyển tiếp [Domain Controller authentication to [Active Directory Certificate Services]? Đừng lo lắng rằng MS-DFSNM đã chống lưng cho bạn “, nhà nghiên cứu bảo mật Filip Dragovic cho biết trong một tweet.
MS-DFSNM cung cấp giao diện gọi thủ tục từ xa (RPC) để quản lý cấu hình hệ thống tệp phân tán.
Tấn công chuyển tiếp NTLM (NT Lan Manager) là một phương pháp nổi tiếng khai thác cơ chế phản hồi thử thách. Nó cho phép các bên độc hại ngồi giữa máy khách và máy chủ, đồng thời chặn và chuyển tiếp các yêu cầu xác thực đã được xác thực để truy cập trái phép vào tài nguyên mạng, có được chỗ đứng ban đầu một cách hiệu quả trong môi trường Active Directory.
Việc phát hiện ra DFSCoerce theo một phương pháp tương tự được gọi là PetitPotam lạm dụng Giao thức từ xa hệ thống tệp mã hóa (MS-EFSRPC) của Microsoft để cưỡng chế
Máy chủ Windows, bao gồm cả bộ điều khiển miền, xác thực với một rơle dưới sự kiểm soát của kẻ tấn công, cho phép các tác nhân đe dọa có khả năng chiếm toàn bộ miền.
“Bằng cách chuyển tiếp yêu cầu xác thực NTLM từ bộ điều khiển miền tới Cơ quan đăng ký web của Tổ chức phát hành chứng chỉ hoặc Dịch vụ web đăng ký chứng chỉ trên hệ thống AD CS, kẻ tấn công có thể lấy được chứng chỉ có thể được sử dụng để lấy Vé cấp vé (TGT) từ bộ điều khiển miền “, Trung tâm Điều phối CERT (CERT / CC) lưu ý, trình bày chi tiết về chuỗi tấn công.
Để giảm thiểu các cuộc tấn công chuyển tiếp NTLM, Microsoft khuyên bạn nên bật các biện pháp bảo vệ như Bảo vệ mở rộng để xác thực (EPA), ký kết SMB và tắt HTTP trên máy chủ AD CS.
.
