22/06/22
“Диспетчер печати отключен, RPC-фильтры готовы предотвращать PetitPotam, служба теневого копирования отключена, но вы все еще хотите использовать аутентификацию Active Directory Domain Services для контроллера домена? Не волнуйтесь, MS-DFSNM прикроет вашу спину", – написал в Twitter ИБ-специалист Филип Драгович, опубликовавший PoC-скрипт под названием “ DFSCoerce “ для атаки на NTLM-ретранслятор.
Скрипт использует протокол Microsoft Distributed File System для ретрансляции аутентификационных данных на произвольный сервер, что может позволить злоумышленникам взять под контроль Windows-домен жертвы.
Обнаружение DFSCoerce последовало за аналогичной атакой под названием PetitPotam, которая позволяла злоумышленникам взять под контроль Windows-домен, сообщает Securitylab.
"Передавая запрос NTLM-аутентификации с контроллера домена на веб-службу Certificate Authority Web Enrollment или Certificate Enrollment Web Service в системе Active Directory Certificate Services (AD CS), злоумышленник может получить сертификат, который потом используется для получения Ticket Granting Ticket (TGT) от контроллера домена", – отметили в Координационном центре CERT (CERT/CC) в своем подробном разборе DFSCoerce.
Эксперты, которых опросило издание BleepingComputer , подтвердили, что DFSCoerce позволяет атакующему с низким уровнем доступа стать администратором Windows-домена. По мнению специалистов, лучшими способами защиты от DFSCoerce являются:
- Использование Extended Protection for Authentication (EPA);
- Использование подписи SMB;
- Отключение HTTP на серверах AD CS;
- Отключение NTLM на контроллерах домена.
