Новая NTLM relay атака позволяет злоумышленникам захватывать Windows-домены

Новая NTLM relay атака позволяет злоумышленникам захватывать Windows-домены

DFSCoerce использует файловую систему MS-DFSNM для захвата Windows-доменов.

“Диспетчер печати отключен, RPC-фильтры готовы предотвращать PetitPotam, служба теневого копирования отключена, но вы все еще хотите использовать аутентификацию Active Directory Domain Services для контроллера домена? Не волнуйтесь, MS-DFSNM прикроет вашу спину", – написал в Twitter ИБ-специалист Филип Драгович, опубликовавший PoC-скрипт под названием “ DFSCoerce “ для атаки на NTLM-ретранслятор. Скрипт использует протокол Microsoft Distributed File System для ретрансляции аутентификационных данных на произвольный сервер, что может позволить злоумышленникам взять под контроль Windows-домен жертвы.

Обнаружение DFSCoerce последовало за аналогичной атакой под названием PetitPotam . которая позволяла злоумышленникам взять под контроль Windows-домен.

"Передавая запрос NTLM-аутентификации с контроллера домена на веб-службу Certificate Authority Web Enrollment или Certificate Enrollment Web Service в системе Active Directory Certificate Services (AD CS), злоумышленник может получить сертификат, который потом используется для получения Ticket Granting Ticket (TGT) от контроллера домена", – отметили в Координационном центре CERT (CERT/CC) в своем подробном разборе DFSCoerce.

Эксперты, которых опросило издание BleepingComputer , подтвердили, что DFSCoerce позволяет атакующему с низким уровнем доступа стать администратором Windows-домена. По мнению специалистов, лучшими способами защиты от DFSCoerce являются:

  • Использование Extended Protection for Authentication (EPA);

  • Использование подписи SMB;

  • Отключение HTTP на серверах AD CS;

  • Отключение NTLM на контроллерах домена.


Мир сходит с ума и грянет киберапокалипсис. Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!