Jenis baru serangan relai Windows NTLM yang dijuluki DFSCoerce telah ditemukan yang memanfaatkan Sistem File Terdistribusi (DFS): Namespace Management Protocol (MS-DFSNM) untuk menguasai domain.
“Layanan Spooler dinonaktifkan, filter RPC dipasang untuk mencegah PetitPotam dan Layanan Agen VSS File Server tidak diinstal tetapi Anda masih ingin menyampaikan [Domain Controller authentication to [Active Directory Certificate Services]? Jangan khawatir MS-DFSNM mendukung Anda,” peneliti keamanan Filip Dragovic dikatakan dalam sebuah tweet.
MS-DFSNM menyediakan antarmuka panggilan prosedur jarak jauh (RPC) untuk mengelola konfigurasi sistem file terdistribusi.
Serangan relai NTLM (NT Lan Manager) adalah metode terkenal yang mengeksploitasi mekanisme tantangan-respons. Hal ini memungkinkan pihak jahat untuk duduk di antara klien dan server dan mencegat dan menyampaikan permintaan otentikasi yang divalidasi untuk mendapatkan akses tidak sah ke sumber daya jaringan, secara efektif mendapatkan pijakan awal di lingkungan Active Directory.
Penemuan DFSCoerce mengikuti metode serupa yang disebut PetitPotam yang menyalahgunakan Protokol Jarak Jauh Sistem File Enkripsi Microsoft (MS-EFSRPC) untuk memaksa server Windows, termasuk pengontrol domain, untuk mengautentikasi dengan relai di bawah kendali penyerang, membiarkan aktor ancaman berpotensi mengambil alih seluruh domain.
Dengan menyampaikan permintaan otentikasi NTLM dari pengontrol domain ke Pendaftaran Otoritas Sertifikat Web atau Layanan Web Pendaftaran Sertifikat pada sistem AD CS, penyerang dapat memperoleh sertifikat yang dapat digunakan untuk mendapatkan Tiket Pemberian Tiket (TGT) dari pengontrol domain,” Pusat Koordinasi CERT (CERT/CC) dicatatmerinci rantai serangan.
Untuk mengurangi serangan relai NTLM, Microsoft merekomendasikan untuk mengaktifkan perlindungan seperti Extended Protection for Authentication (EPA), penandatanganan SMB, dan menonaktifkan HTTP di server AD CS.