DFSCoerce, novi napad preko Windows NTLM-a


Iako je sklon ranjivostima i zamijenjen Kerberosom, NTLM (New Technology LAN Manager) odbija umrijeti. Uglavnom zato što organizacije održavaju kompatibilnost sa starim klijentima i poslužiteljima.
A to je dobra stvar za hakere i sigurnosne stručnjake poput Filipa Dragovića iz Infiga.

Filip je otkrio novi način preuzimanja kontrole nad Windows domenama – nazvan DFSCoerce, napad koristi MS-DFSNM (Distributed File System: Namespace Management) protokol za preuzimanje kontrole nad Windows domenom. Hakeri i administratori sigurno znaju za PetitPotam, koji radi sličnu stvar kao DFSCoerce, ali preko MS-EFSRPC protokola.
DFSCoerce će omogućiti napadaču da postane administrator domene krenuvši samo od korisnika s ograničenim pristupom Windows domeni. Ako ste zainteresirani za Proof-Of-Concept, možete ga provjeriti na Filipovom GitHubu.

Microsoft kaže da DFSCoerce "zahtijeva već autenticirani korisnički račun i preporučuje korisnicima da koriste najbolje sigurnosne prakse, kao što je omogućavanje višefaktorske autentikacije i instaliranje svih dostupnih sigurnosnih ažuriranja što je prije moguće." Postoji i službeni Microsoftov članak kada je PetitPotam prvi put predstavljen i još uvijek bi trebao biti relevantan.