Se ha descubierto un nuevo tipo de ataque de retransmisión de Windows NTLM apodado DFSCoerce que aprovecha el Sistema de Archivos Distribuidos (DFS): Namespace Management Protocol (MS-DFSNM) para hacerse con el control de un dominio.
«¿Servicio Spooler deshabilitado, filtros RPC instalados para evitar PetitPotam y servicio de agente VSS del servidor de archivos no instalado, pero todavía quiere retransmitir [autenticación del controlador de dominio a [servicios de certificados de Active Directory]? No te preocupes, MS-DFSNM te cubre las espaldas», dijo el investigador de seguridad Filip Dragovic en un tweet.
MS-DFSNM proporciona una interfaz de llamada a procedimiento remoto (RPC) para administrar configuraciones de sistemas de archivos distribuidos.
El ataque de retransmisión NTLM (NT Lan Manager) es un método bien conocido que explota el mecanismo de desafío-respuesta. Permite a las partes maliciosas situarse entre los clientes y los servidores e interceptar y retransmitir las solicitudes de autenticación validadas con el fin de obtener acceso no autorizado a los recursos de la red, ganando efectivamente un punto de apoyo inicial en los entornos de Active Directory.
El descubrimiento de DFSCoerce sigue a un método similar llamado PetitPotam que abusa del Protocolo Remoto del Sistema de Archivos Encriptados de Microsoft (MS-EFSRPC) para coaccionar
Los servidores de Windows, incluidos los controladores de dominio, se autentican con una retransmisión bajo el control de un atacante, lo que permite a los actores de la amenaza tomar el control de todo un dominio.
«Al retransmitir una solicitud de autenticación NTLM desde un controlador de dominio a la inscripción web de la autoridad de certificación o al servicio web de inscripción de certificados en un sistema AD CS, un atacante puede obtener un certificado que puede ser utilizado para obtener un Ticket Granting Ticket (TGT) del controlador de dominio», señaló el Centro de Coordinación CERT (CERT/CC), detallando la cadena de ataque.
Para mitigar los ataques de retransmisión de NTLM, Microsoft recomienda activar protecciones como la Protección Extendida para la Autenticación (EPA), la firma SMB y la desactivación de HTTP en los servidores AD CS.