0
0
Novo ataque de retransmissão DFSCoerce usa o Distributed File System da Microsoft para assumir completamente um domínio do sistema
Um novo ataque de retransmissão DFSCoerce Windows NTLM que usa o MS-DFSNM — o Distributed File System da Microsoft — para assumir completamente um domínio do Windows foi descoberto. NTLM é um conjunto de protocolos de segurança da fabricante de software que fornece autenticação, integridade e confidencialidade aos usuários.
Muitas organizações utilizam os serviços de certificados do Microsoft Active Directory, um serviço de infraestrutura de chave pública usado para autenticar usuários, serviços e dispositivos em um domínio do Windows. No entanto, esse serviço é vulnerável a ataques de retransmissão NTLM, que ocorre quando os operadores de ameaças forçam ou coagem um controlador de domínio a se autenticar contra uma retransmissão NTLM mal-intencionada sob o controle de um invasor.
Esse servidor mal-intencionado pode retransmitir ou encaminhar a solicitação de autenticação para os serviços de certificados do Active Directory de um domínio via HTTP e, por fim, receber um tíquete de concessão Kerberos (TGT). Esse tíquete permite que os operadores de ameaças assumam a identidade de qualquer dispositivo na rede, incluindo um controlador de domínio. Depois de representar um controlador de domínio, eles terão privilégios elevados, permitindo que o invasor assuma o domínio e execute qualquer comando.
Para forçar um servidor remoto a se autenticar contra uma retransmissão NTLM maliciosa, o invasor pode usar vários métodos, incluindo os protocolos MS-RPRN, MS-EFSRPC (PetitPotam) e MS-FSRVP.
Embora a Microsoft tenha corrigido alguns desses protocolos para evitar a coerção não autenticada, são comumente encontrados desvios que permitem que os protocolos continuem sendo explorados.
Esta semana, o pesquisador de segurança Filip Dragovic lançou um script de prova de conceito para um novo ataque de retransmissão NTLM chamado ‘DFSCoerce’ que usa o protocolo MS-DFSNM para retransmitir autenticação contra um servidor arbitrário. O script DFSCoerce é baseado na exploração PetitPotam, mas em vez de usar o MS-EFSRPC, ele usa o MS-DFSNM, um protocolo que permite que o Windows Distributed File System (DFS) seja gerenciado por uma interface de chamada remota de procedimento (RPC, acrônimo de Remote Procedure Call).
Pesquisadores de segurança que testaram o novo ataque de retransmissão NTLM disseram ao BleepingComputer que ele permite facilmente que um usuário com acesso limitado a um domínio do Windows se torne um administrador de domínio. Segundo eles, a melhor maneira de prevenir esses tipos de ataques é seguir o conselho da Microsoft sobre a mitigação do ataque de retransmissão PetitPotam NTLM.
Essas mitigações incluem desabilitar NTLM em controladores de domínio, desabilitar serviços Web em servidores de Serviços de Certificados do Active Directory e habilitar Proteção Estendida para Autenticação e recursos de assinatura, como assinatura SMB, para proteger as credenciais do Windows.
FONTE: CISO ADVISOR