新的DFSCoerce NTLM中继攻击允许攻击者控制Windows域

admin 2022年6月29日14:11:45安全新闻评论18 views582字阅读1分56秒阅读模式

Security Affairs 网站披露,安全专家发现了一种名为 DFSCoerce 的新型 Windows NTLM 中继攻击,它允许攻击者控制 Windows 域。

新的DFSCoerce NTLM中继攻击允许攻击者控制Windows域

DFSCoerce 攻击依赖分布式文件系统 (DFS):命名空间管理协议 (MS-DFSNM) 来完全控制 Windows 域。分布式文件系统 (DFS):命名空间管理协议为管理 DFS 配置提供了 RPC 接口。

安全研究员 Filip Dragovic 发布了一个新的 NTLM 中继攻击的概念验证脚本,该PoC基于PetitPotam 漏洞,并滥用 MS-DFSNM 协议而不是使用 MS-EFSRPC。

新的DFSCoerce NTLM中继攻击允许攻击者控制Windows域

著名 CERT/CC 专家 Will Dormann 证实,该攻击可能允许威胁攻击者从域控制器获取 Ticket Granting Ticket (TGT)。

新的DFSCoerce NTLM中继攻击允许攻击者控制Windows域

为了缓解该攻击,研究人员建议应遵循微软关于缓解 PetitPotam NTLM 中继攻击的建议,例如禁用域控制器上的 NTLM 并启用身份验证扩展保护 (EPA) 和签名功能,以及关闭 AD CS 服务器上的 HTTP。

参考文章:

https://securityaffairs.co/wordpress/132473/hacking/dfscoerce-attacks-windows-domains.html

新的DFSCoerce NTLM中继攻击允许攻击者控制Windows域



精彩推荐






新的DFSCoerce NTLM中继攻击允许攻击者控制Windows域

新的DFSCoerce NTLM中继攻击允许攻击者控制Windows域
新的DFSCoerce NTLM中继攻击允许攻击者控制Windows域
新的DFSCoerce NTLM中继攻击允许攻击者控制Windows域

原文始发于微信公众号(FreeBuf):新的DFSCoerce NTLM中继攻击允许攻击者控制Windows域

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月29日14:11:45
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  新的DFSCoerce NTLM中继攻击允许攻击者控制Windows域 http://cn-sec.com/archives/1137006.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: