Un nuevo ataque de retransmisión NTLM denominado DFSCoerce se aprovecha del Sistema de archivos distribuido (DFS) con el fin de tomar control de un dominio de windows.

El ataque de retrasnmisión NTLM es un método que consiste en la explotación del mecanismo desafío-respuesta. Esto permite a un atacante posicionarse entre un cliente y un servidor e interceptar y transmitir solicitudes de autenticación validadas y así obtener acceso no autorizado a los recursos de una red o en el caso de DFSCoerce, potencialmente apoderarse de todo un dominio.

El ataque denominado DFSCoerce se basa en el exploit PetitPotam el cuál abusa del Sistema de cifrado de archivos de Microsoft, pero DNSCoerce, en lugar del MS- EFSRPC usa MS-DFSNM, un protocolo que permite administrar el Sistema de archivos distribuido de Windows (DFS) a través de una interfaz RPC.

Al transmitir una solicitud de autenticación NTLM puede obtener un certificado que puede utilizar para generar un ticket de concesión de tickets TGT (token de autenticación de usuario emitido por el Centro de distribución de claves) del controlador de dominio. El ataque permite fácilmente a un usuario con acceso limitado convertirse en administrador de dominio.

 

RECOMENDACIONES

Habilitar la protección extendida para funciones de autenticación (EPA) así como la firma SMB para proteger las credenciales de Windows

Desactivar HTTP en los servidores AD CS. Desactivar NTLM en los controladores de dominio

FUENTES

https://support.microsoft.com/en-gb/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate- services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

https://www.bleepingcomputer.com/news/microsoft/new-dfscoerce-ntlm-relay-attack-allows-windows-domain- takeover/

https://securityaffairs.co/wordpress/132473/hacking/dfscoerce-attacks-windows-domains.html

Escrito por: Johan Cifuentes

Cyber Security Engineer

Info@etek.com      Colombia                        Perú                            India

                       +57 (1) 2571520        +51 (1) 6124343                 +91-9873451221