Ataque DFSCoerce NTLM Relay se apropria de domínio do Windows

Novo ataque de retransmissão DFSCoerce usa o Distributed File System da Microsoft para assumir completamente o domínio do Windows.

NTLM é um conjunto de protocolos de segurança da fabricante de software que fornece autenticação, integridade e confidencialidade aos usuários.

Muitas organizações utilizam os serviços de certificados do Microsoft Active Directory, um serviço de infraestrutura de chave pública usado para autenticar usuários, serviços e dispositivos em um domínio do Windows. No entanto, esse serviço é vulnerável a ataques de retransmissão NTLM, que ocorre quando os operadores de ameaças forçam ou coagem um controlador de domínio a se autenticar contra uma retransmissão NTLM mal-intencionada sob o controle de um invasor.

Esse servidor mal-intencionado pode retransmitir ou encaminhar a solicitação de autenticação para os serviços de certificados do Active Directory de um domínio via HTTP e, por fim, receber um tíquete de concessão Kerberos (TGT). Esse tíquete permite que os operadores de ameaças assumam a identidade de qualquer dispositivo na rede, incluindo um controlador de domínio.

Segundo os pesquisadores de segurança, a melhor maneira de prevenir esses tipos de ataques é seguir o conselho da Microsoft sobre a mitigação do ataque de retransmissão PetitPotam NTLM.
Essas mitigações incluem desabilitar NTLM em controladores de domínio, desabilitar serviços Web em servidores de Serviços de Certificados do Active Directory e habilitar Proteção Estendida para Autenticação e recursos de assinatura, como assinatura SMB, para proteger as credenciais do Windows.

Leia sobre a matéria no link abaixo:

https://lnkd.in/e-9Vf5we