Цього місяця дослідник безпеки Філіп Драгович опублікував скрипт-доказ концепції нової ретрансляційної атаки NTLM під назвою «DFSCoerce», яка використовує протокол Microsoft Distributed File System (MS-DFSNM) для того, щоб перехоплювати та передавати підтверджені запити аутентифікації, і, з рештою, отримати несанкціонований доступ до мережевих ресурсів.
Скрипт DFSCoerce написаний на основі експлойту PetitPotam, але замість протоколу MS-EFSRPC, він використовує MS-DFSNM. Він дозволяє керувати Windows Distributed File System (DFS) через RPC інтерфейс.
Хід атаки DFSCoerce
Багато організацій використовують службу інфраструктури відкритих ключів (PKI) Microsoft Active Directory Certificate Services для аутентифікації користувачів, служб і пристроїв у домені Windows. Однак ця служба вразлива до ретрансляційних атак NTLM.
Атака відбувається таким чином:
- Зловмисник змушує контролер домену аутентифікувати створений їм ретранслятор NTLM
- Сервер зловмисника передає або пересилає запит на аутентифікацію до домену Active Directory Certificate Services через HTTP
- За допомогою отриманого сертифіката, зловмисник отримує Kerberos ticket-granting ticket (TGT). Він дозволяє хакерам видавати себе за будь-який пристрій в мережі, включаючи контролер домену.
- Після того, як зловмисник видав себе за контролер домену, він отримає підвищені привілеї, що дозволять йому захопити домен і виконати будь-яку команду.
Щоб змусити віддалений сервер аутентифікувати зловмисну ретрансляцію NTLM, можуть використовуватися різні методи, включаючи протоколи MS-RPRN, MS-EFSRPC (PetitPotam) і MS-FSRVP.
Хоча корпорація Microsoft виправила деякі з цих протоколів, щоб запобігти не аутентифікованим операціям, зазвичай зустрічаються обходи, які дозволяють продовжувати зловживання протоколами.
Як запобігти атаці на NTLM Relay
Дослідники кажуть, що найкращий спосіб запобігти подібним типам атак – дотримуватися рекомендацій Microsoft щодо попередження ретрансляційної атаки PetitPotam NTLM.
Ці заходи включають вимкнення NTLM у контролері домену, вимкнення вебслужби на серверах Active Directory Certificate Services, а також ввімкнення функції Extended Protection for Authentication і функцій підпису. Наприклад – підпису SMB, для захисту облікових даних Windows.
Інші методи включають використання вбудованих фільтрів RPC у Windows або брандмауера RPC для запобігання примусового виконання команд сервером за допомогою протоколу MS-DFSNM. Однак наразі невідомо, чи можуть спричинити блокування з’єднання DFS RPC проблеми в мережі.
Корпорація Microsoft поділилася вказівками щодо запобігання атаки DFSCoerce у своєму середовищі.
«Ця техніка вимагає вже аутентифікованого облікового запису користувача. Ми рекомендуємо клієнтам використовувати найкращі методи безпеки. Наприклад, увімкнення багатофакторної аутентифікації та якнайшвидше встановлення всіх доступних оновлень безпеки», — пояснила Microsoft.
