A exploração DFSCoerce PoC publicada recentemente usa o sistema de arquivos MS-DFSNM para assumir domínios do Windows. Esta exploração é conceitualmente semelhante ao sensacional ataque PetitPotam.
Deixe-me lembrá-lo de que conversamos recentemente sobre como Arquivo de bloqueio ransomware adota ProxyShell e para Petit Pot vulnerabilidades.
Filip Dragovich publicou um script PoC chamado “DFSCoerce”para atacar um relé NTLM.
O script usa o Sistema de arquivos distribuídos da Microsoft protocolo para retransmitir dados de autenticação para um servidor arbitrário, que pode permitir que invasores assumam o controle do domínio do Windows da vítima.
A descoberta do DFSCoerce ocorreu após um ataque semelhante chamado PetitPotam, que permitiu que invasores assumissem o controle de um domínio do Windows.
Deixe-me lembrá-lo de que conversamos sobre o fato de que A Microsoft não lidou totalmente com os ataques PetitPotam no Windows NTLM Relay.
Embora a Microsoft se refira a toda esta cadeia de ataques como “para Petit Pot”, é importante entender que PetitPotam é simplesmente uma das explorações PoC usadas para invocar uma solicitação de autenticação NTLM por meio de uma solicitação EfsRpcOpenFileRaw. Deve-se observar que pode haver outros métodos que podem fazer com que o Windows inicie uma conexão com um host arbitrário usando credenciais NTLM privilegiadas. Além do AD CS, pode haver serviços que podem ser usados como alvo para uma solicitação de autenticação NTLM retransmitida.
Também, Os especialistas do CERT divulgaram um análise detalhada da DFSCoerce.
Especialistas entrevistados por BipandoComputador confirmou que o DFSCoerce permite que um invasor de baixo nível se torne um administrador de domínio do Windows. De acordo com os especialistas, as melhores maneiras de se proteger contra DFSCoerce são:
- Uso de proteção estendida para autenticação (EPA);
- Uso de assinatura SMB;
- Desabilitar HTTP em servidores AD CS;
- Desative o NTLM em controladores de domínio.
