Une nouvelle attaque DFSCoerce Windows NTLM relay a été découverte. Elle utilise MS-DFSNM, le système de fichiers distribués de Microsoft, pour prendre complètement le contrôle d'un domaine Windows.

De nombreuses organisations utilisent les services de certificats Microsoft Active Directory, un service d'infrastructure à clé publique (PKI) utilisé pour authentifier les utilisateurs, les services et les périphériques sur un domaine Windows.

Cependant, ce service est vulnérable aux attaques par relais NTLM, c'est-à-dire lorsque des acteurs de la menace forcent ou contraignent un contrôleur de domaine à s'authentifier auprès d'un relais NTLM malveillant sous le contrôle d'un attaquant.

Ce serveur malveillant relaierait alors, ou transmettrait, la demande d'authentification aux services de certification Active Directory d'un domaine via HTTP et obtiendrait finalement un ticket d'octroi de ticket Kerberos (TGT). Ce ticket permet aux acteurs de la menace d'assumer l'identité de n'importe quel dispositif du réseau, y compris un contrôleur du domaine.

Une fois qu'ils se sont fait passer pour un contrôleur de domaine, ils disposent de privilèges élevés permettant à l'attaquant de prendre le contrôle du domaine et d'exécuter n'importe quelle commande.

Pour contraindre un serveur distant à s'authentifier contre un relais NTLM malveillant, les acteurs de la menace peuvent utiliser diverses méthodes, notamment les protocoles MS-RPRN, MS-EFSRPC (PetitPotam) et MS-FSRVP.

Bien que Microsoft ait apporté des correctifs à certains de ces protocoles pour empêcher toute coercition non authentifiée, des contournements sont couramment découverts, ce qui permet aux protocoles de continuer à être utilisés de manière abusive.

Cette semaine, le chercheur en sécurité Filip Dragovic a publié un script de preuve de concept pour une nouvelle attaque par relais NTLM appelée "DFSCoerce" qui utilise le protocole MS-DFSNM (Distributed File System) de Microsoft pour relayer l'authentification contre un serveur arbitraire.

Le script DFSCoerce est basé sur l'exploit PetitPotam, mais au lieu d'utiliser MS-EFSRPC, il utilise MS-DFSNM, un protocole qui permet de gérer le système de fichiers distribués (DFS) de Windows via une interface RPC.

Les utilisateurs sont invités de consulter les mesures d’atténuation recommandées par Microsoft.