Network-Secure Campanha 01 Desktop Entrada: 22062022 21h52m

Ataque DFSCoerce NTLM Relay se apropria de domínio do Windows

Novo ataque de retransmissão DFSCoerce usa o Distributed File System da Microsoft para assumir completamente um domínio do sistema
Da Redação
21/06/2022

Um novo ataque de retransmissão DFSCoerce Windows NTLM que usa o MS-DFSNM — o Distributed File System da Microsoft — para assumir completamente um domínio do Windows foi descoberto. NTLM é um conjunto de protocolos de segurança da fabricante de software que fornece autenticação, integridade e confidencialidade aos usuários.

Muitas organizações utilizam os serviços de certificados do Microsoft Active Directory, um serviço de infraestrutura de chave pública usado para autenticar usuários, serviços e dispositivos em um domínio do Windows. No entanto, esse serviço é vulnerável a ataques de retransmissão NTLM, que ocorre quando os operadores de ameaças forçam ou coagem um controlador de domínio a se autenticar contra uma retransmissão NTLM mal-intencionada sob o controle de um invasor.

Esse servidor mal-intencionado pode retransmitir ou encaminhar a solicitação de autenticação para os serviços de certificados do Active Directory de um domínio via HTTP e, por fim, receber um tíquete de concessão Kerberos (TGT). Esse tíquete permite que os operadores de ameaças assumam a identidade de qualquer dispositivo na rede, incluindo um controlador de domínio. Depois de representar um controlador de domínio, eles terão privilégios elevados, permitindo que o invasor assuma o domínio e execute qualquer comando.

Para forçar um servidor remoto a se autenticar contra uma retransmissão NTLM maliciosa, o invasor pode usar vários métodos, incluindo os protocolos MS-RPRN, MS-EFSRPC (PetitPotam) e MS-FSRVP.

Embora a Microsoft tenha corrigido alguns desses protocolos para evitar a coerção não autenticada, são comumente encontrados desvios que permitem que os protocolos continuem sendo explorados.

Veja isso
Microsoft investe em inteligência contra ameaças estrangeiras
Servidores Windows e Linux estão sob ataque de criptomineração

Esta semana, o pesquisador de segurança Filip Dragovic lançou um script de prova de conceito para um novo ataque de retransmissão NTLM chamado ‘DFSCoerce’ que usa o protocolo MS-DFSNM para retransmitir autenticação contra um servidor arbitrário. O script DFSCoerce é baseado na exploração PetitPotam, mas em vez de usar o MS-EFSRPC, ele usa o MS-DFSNM, um protocolo que permite que o Windows Distributed File System (DFS) seja gerenciado por uma interface de chamada remota de procedimento (RPC, acrônimo de Remote Procedure Call).

Pesquisadores de segurança que testaram o novo ataque de retransmissão NTLM disseram ao BleepingComputer que ele permite facilmente que um usuário com acesso limitado a um domínio do Windows se torne um administrador de domínio. Segundo eles, a melhor maneira de prevenir esses tipos de ataques é seguir o conselho da Microsoft sobre a mitigação do ataque de retransmissão PetitPotam NTLM.

Essas mitigações incluem desabilitar NTLM em controladores de domínio, desabilitar serviços Web em servidores de Serviços de Certificados do Active Directory e habilitar Proteção Estendida para Autenticação e recursos de assinatura, como assinatura SMB, para proteger as credenciais do Windows.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)