PetitPotam Windows DFSCoerce домен атака Active Directory NTLM
DFSCoerce использует файловую систему MS-DFSNM для захвата Windows-доменов.
“Диспетчер печати отключен, RPC-фильтры готовы предотвращать PetitPotam, служба теневого копирования отключена, но вы все еще хотите использовать аутентификацию Active Directory Domain Services для контроллера домена? Не волнуйтесь, MS-DFSNM прикроет вашу спину", – написал в Twitter ИБ-специалист Филип Драгович, опубликовавший PoC-скрипт под названием “ DFSCoerce “ для атаки на NTLM-ретранслятор. Скрипт использует протокол Microsoft Distributed File System для ретрансляции аутентификационных данных на произвольный сервер, что может позволить злоумышленникам взять под контроль Windows-домен жертвы.
Обнаружение DFSCoerce последовало за аналогичной атакой под названием PetitPotam . которая позволяла злоумышленникам взять под контроль Windows-домен.
"Передавая запрос NTLM-аутентификации с контроллера домена на веб-службу Certificate Authority Web Enrollment или Certificate Enrollment Web Service в системе Active Directory Certificate Services (AD CS), злоумышленник может получить сертификат, который потом используется для получения Ticket Granting Ticket (TGT) от контроллера домена", – отметили в Координационном центре CERT (CERT/CC) в своем подробном разборе DFSCoerce.
Эксперты, которых опросило издание BleepingComputer , подтвердили, что DFSCoerce позволяет атакующему с низким уровнем доступа стать администратором Windows-домена. По мнению специалистов, лучшими способами защиты от DFSCoerce являются:
Использование Extended Protection for Authentication (EPA);
Использование подписи SMB;
Отключение HTTP на серверах AD CS;
Отключение NTLM на контроллерах домена.
SECURITYLAB.RU