Eine neue Art von Windows NTLM-Relay-Angriff mit dem Namen DFSCoerce wurde aufgedeckt, der das Distributed File System (DFS) ausnutzt: Namespace Management Protocol (MS-DFSNM) ausnutzt, um die Kontrolle über eine Domäne zu übernehmen.
„Der Spooler-Dienst ist deaktiviert, RPC-Filter sind installiert, um PetitPotam zu verhindern, und der Dateiserver-VSS-Agentendienst ist nicht installiert, aber du willst trotzdem [Domänencontroller-Authentifizierung an [Active Directory-Zertifikatsdienste] weiterleiten? Keine Sorge, MS-DFSNM hält dir den Rücken frei“, so der Sicherheitsforscher Filip Dragovic in einem Tweet.
MS-DFSNM bietet eine RPC-Schnittstelle (Remote Procedure Call) für die Verwaltung von verteilten Dateisystemkonfigurationen.
Der NTLM (NT Lan Manager) Relay-Angriff ist eine bekannte Methode, die den Challenge-Response-Mechanismus ausnutzt. Er ermöglicht es böswilligen Parteien, sich zwischen Clients und Server zu setzen und bestätigte Authentifizierungsanfragen abzufangen und weiterzuleiten, um sich unbefugten Zugang zu Netzwerkressourcen zu verschaffen und so einen ersten Fuß in Active Directory-Umgebungen zu fassen.
Die Entdeckung von DFSCoerce folgt auf eine ähnliche Methode namens PetitPotam, die Microsofts Encrypting File System Remote Protocol (MS-EFSRPC) missbraucht, um Windows-Server, einschließlich Domänencontroller, dazu zu zwingen, sich bei einem Relay unter der Kontrolle eines Angreifers zu authentifizieren, wodurch Bedrohungsakteure möglicherweise eine ganze Domäne übernehmen können.
„Indem er eine NTLM-Authentifizierungsanfrage von einem Domänencontroller an den Certificate Authority Web Enrollment oder den Certificate Enrollment Web Service auf einem AD CS-System weiterleitet, kann ein Angreifer ein Zertifikat erhalten, das dazu verwendet werden kann, ein Ticket Granting Ticket (TGT) vom Domänencontroller zu erhalten“, so das CERT Coordination Center (CERT/CC) in einer Beschreibung der Angriffskette.
Um NTLM-Relay-Angriffe abzuschwächen, empfiehlt Microsoft, Schutzmaßnahmen wie Extended Protection for Authentication (EPA) und SMB-Signierung zu aktivieren und HTTP auf AD CS-Servern zu deaktivieren.