DFSCoerce – Nuevo ataque de retransmisión NTLM de Windows

Se ha descubierto un nuevo ataque de retransmisión NTLM (NT Lan Manager) de Windows DFSCoerce que utiliza el sistema de archivos distribuidos de Microsoft (MS-DFSNM), para apoderarse por completo de un dominio de Windows.

Muchas organizaciones utilizan Microsoft Active Directory Certificate Services, un servicio de infraestructura de clave pública (PKI) que se utiliza para autenticar usuarios, servicios y dispositivos en un dominio de Windows, sin embargo, este servicio es vulnerable a los ataques de retransmisión NTLM, que es cuando los atacantes obligan a un controlador de dominio autenticarse contra una retransmisión NTLM maliciosa bajo su control.

Este servidor malicioso luego retransmitiría, o reenviaría, la solicitud de autenticación a los servicios de certificados de Active Directory de un dominio a través de HTTP y, finalmente, se le otorgaría un token de autenticación de usuario conocido como Ticket Granting Tickets (TGT) de Kerberos. Este ticket permite a los acatantes asumir la identidad de cualquier dispositivo en la red, incluido un controlador de dominio.

Una vez que se hayan hecho pasar por un controlador de dominio, tendrán privilegios elevados que le permitirán al atacante tomar control del dominio y ejecutar cualquier comando.

Para obligar a un servidor remoto a autenticarse contra un relay NTLM malicioso, los atacantes podrían usar varios métodos, incluidos los protocolos MS-RPRN, MS-EFSRPC (PetitPotam) y MS-FSRVP.

Ataque MS-DFSNM NTLM Relay

El investigador de seguridad Filip Dragovic lanzó una secuencia de comandos de PoC (prueba de concepto) para un nuevo ataque de retransmisión NTLM conocido como «DFSCoerce» que utiliza el protocolo del Sistema de Archivos Distribuidos (MS-DFSNM) de Microsoft para retransmitir la autenticación contra un servidor arbitrario.

El script DFSCoerce se basa en el exploit PetitPotam, pero en lugar de usar MS-EFSRPC, usa MS-DFSNM, un protocolo que permite administrar el Sistema de archivos distribuido (DFS) de Windows a través de una interfaz Remote procedure call (RPC).

Los investigadores de seguridad que probaron el nuevo ataque de retransmisión NTLM indicaron que un usuario con acceso limitado a un dominio de Windows logra fácilmente convertirse en administrador de dominio.

Recomendaciones:

La mejor manera de prevenir este tipo de ataques es seguir el aviso de Microsoft sobre cómo mitigar el ataque de retransmisión NTLM de PetitPotam, entre las mitigaciones se encuentra:

• Desactivación de NTLM en los controladores de dominio.
• Desactivación de los servicios web en los servidores de servicios de certificados de Active Directory.
• Activación de la protección ampliada para funciones de autenticación (EPA).
• Activación de funciones de firma como la firma SMB, para proteger las credenciales de Windows.

Para mayor información:

• https://msrc.microsoft.com/update-guide/vulnerability/ADV210003
• https://thehackernews.com/2022/06/new-ntlm-relay-attack-lets-attackers.html
• https://www.bleepingcomputer.com/news/microsoft/new-dfscoerce-ntlm-relay-attack-allows-windows-domain-takeover/
• https://github.com/Wh04m1001/DFSCoerce