Cyber

Un nouveau type d’attaque de relais Windows NTLM appelé DFSCoerce a été découvert qui exploite le système de fichiers distribués (DFS) : protocole de gestion d’espace de noms (MS-DFSNM) pour prendre le contrôle d’un domaine.

« Service Spooler désactivé, filtres RPC installés pour empêcher PetitPotam et File Server VSS Agent Service non installé mais vous souhaitez toujours relayer [Domain Controller authentication to [Active Directory Certificate Services]? Ne vous inquiétez pas, MS-DFSNM a (sic) votre dos « , Filip Dragovic, chercheur en sécurité a dit dans un tweet.

La Cyber-Sécurité

MS-DFSNM fournit une interface d’appel de procédure à distance (RPC) pour l’administration des configurations de système de fichiers distribués.

L’attaque relais NTLM (NT Lan Manager) est une méthode bien connue qui exploite le mécanisme de défi-réponse. Il permet aux parties malveillantes de s’asseoir entre les clients et les serveurs et d’intercepter et de relayer les demandes d’authentification validées afin d’obtenir un accès non autorisé aux ressources du réseau, prenant effectivement pied dans les environnements Active Directory.

La découverte de DFSCoerce suit une méthode similaire appelée PetitPotam qui les abus Microsoft’s Encrypting File System Remote Protocol (MS-EFSRPC) pour contraindre les serveurs Windows, y compris les contrôleurs de domaine, à s’authentifier auprès d’un relais sous le contrôle d’un attaquant, permettant aux pirates de prendre potentiellement le contrôle d’un domaine entier.

Publicité
La Cyber-Sécurité

« En relayant une demande d’authentification NTLM d’un contrôleur de domaine vers l’inscription Web de l’autorité de certification ou le service Web d’inscription de certificat sur un système AD CS, un attaquant peut obtenir un certificat qui peut être utilisé pour obtenir un Ticket Granting Ticket (TGT) du contrôleur de domaine », le centre de coordination CERT (CERT/CC) c’est notédétaillant le chaîne d’attaque.

Pour atténuer les attaques de relais NTLM, Microsoft recommande l’activation de protections telles que la protection étendue de l’authentification (EPA), la signature SMB et la désactivation de HTTP sur les serveurs AD CS.

Rate this post
Publicité
Article précédentTamatem Games s’associe à MSA Novo
Article suivantBtc ‘Wholecoiners’ Augmentation de 13 000 en 7 jours – ce que cela pourrait signifier pour la plus ancienne crypto-monnaie
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici