DFSCoerce NTLM Relay Saldırısı, Domain Controller’ların Ele Geçirilmesine İzin Veriyor

Yeni yapılan bir çalışma, Windows etki alanını tamamen ele geçirmek için yeni bir DFSCoerce Windows NTLM geçiş saldırısını ortaya çıkardı. Saldırganların hedefinde bu sefer, Microsoft Active Directory Sertifika Hizmeti bulunuyor. Saldırganlar kimlik doğrulama isteğini HTTP aracılığıyla etki alanınındaki Active Directory Sertifika Hizmetlerine iletiyor ve bir Kerberos bilet (TGT) alınmasını sağlıyor. Bu bilet, saldırganların domain controller’lar da dahil olmak üzere ağdaki herhangi bir cihazın kimlik bilgilerini almasına izin veriyor.

PoC Yayınlandı

Güvenlik araştırmacısı Filip Dragovic , DFSCoerce adlı NTLM geçiş saldırısı için bir kavram kanıtı komut dosyası yayınladı.

Spooler service disabled, RPC filters installed to prevent PetitPotam and File Server VSS Agent Service not installed but you still want to relay DC authentication to ADCS?
Don't worry MS-DFSNM have your back 😉https://t.co/idwMnM8nIV pic.twitter.com/pTHePYLLMs

— Filip Dragovic (@filip_dragovic) June 18, 2022

Şu an bu zafiyet için yapılacak en iyi şey Microsoft’un PetitPotam NTLM geçiş saldırısını hafifletme konusundaki tavsiyesine uymak gibi görünüyor. Bunun nedeni PetitPotam ile benzer özellikler taşıması.

Kaynak: bleepingcomputer.com