El exploit DFSCoerce PoC publicado recientemente utiliza el sistema de archivos MS-DFSNM para hacerse cargo de los dominios de Windows. Este exploit es conceptualmente similar al sensacional ataque PetitPotam..
Permítanme recordarles que recientemente hablamos sobre cómo bloquear archivo ransomware adopta ProxyShell y para olla pequeña vulnerabilidades.
Filip Dragovich publicó un script PoC llamado "DFSCoerce”para atacar un relé NTLM.
El guión utiliza el Sistema de archivos distribuido de Microsoft protocolo para transmitir datos de autenticación a un servidor arbitrario, que puede permitir a los atacantes tomar el control del dominio de Windows de la víctima.
El descubrimiento de DFSCoerce siguió a un ataque similar llamado PetitPotam, que permitió a los atacantes tomar el control de un dominio de Windows.
Permítanme recordarles que hablamos sobre el hecho de que Microsoft no ha hecho frente completamente a los ataques de PetitPotam en Windows NTLM Relay.
Aunque Microsoft se refiere a toda esta cadena de ataques como «para olla pequeña», Es importante comprender que PetitPotam es simplemente uno de los exploits PoC utilizados para invocar una solicitud de autenticación NTLM a través de una solicitud EfsRpcOpenFileRaw.. Cabe señalar que puede haber otros métodos que pueden provocar que Windows inicie una conexión a un host arbitrario utilizando credenciales NTLM privilegiadas.. Además de AD CS, Es posible que haya servicios que se puedan utilizar como destino para una solicitud de autenticación NTLM retransmitida..
También, Los especialistas del CERT publicaron un análisis detallado de DFSCoerce.
Expertos entrevistados por pitidocomputadora confirmó que DFSCoerce permite que un atacante de bajo nivel se convierta en administrador de dominio de Windows. Según los expertos, Las mejores formas de protegerse contra DFSCoerce son:
- Uso de protección extendida para autenticación (EPA);
- Uso de firma SMB;
- Deshabilite HTTP en servidores AD CS;
- Deshabilite NTLM en controladores de dominio.
