Microsoft'un dağıtılmış dosya sistemi olan MS-DFSNM'yi Windows etki alanını tamamen devralmak için kullanan yeni bir DFSCOerce Windows NTLM röle saldırısı keşfedildi.
Birçok kuruluş, Windows alanındaki kullanıcıları, hizmetleri ve aygıtları doğrulamak için kullanılan bir genel anahtar altyapı (PKI) hizmeti olan Microsoft Active Directory Sertifika hizmetlerini kullanır.
Bununla birlikte, bu hizmet NTLM röle saldırılarına karşı savunmasızdır, bu da tehdit aktörlerinin bir saldırganın kontrolü altında kötü niyetli bir NTLM rölesine karşı kimliği doğrulamak için bir alan denetleyicisi olan bir etki alanı denetleyicisi olan veya cerreyse.
Bu kötü amaçlı sunucu daha sonra bir alan adının Active Directory Sertifika hizmetlerine HTTP aracılığıyla kimlik doğrulama isteğini aktarır veya iletir ve sonuçta bir Kerberos bilet verme bileti (TGT) verilir. Bu bilet, tehdit aktörlerinin bir etki alanı denetleyicisi de dahil olmak üzere ağdaki herhangi bir cihazın kimliğini varsaymasına izin verir.
Bir etki alanı denetleyicisini taklit ettikten sonra, saldırganın etki alanını devralmasına ve herhangi bir komutu çalıştırmasına izin veren yüksek ayrıcalıklara sahip olacaklar.
Uzak bir sunucuyu kötü niyetli bir NTLM rölesine karşı doğrulamaya zorlamak için, tehdit aktörleri MS-RPRN, MS-EFSRPC (Petitpotam) ve MS-FSRVP protokolleri dahil olmak üzere çeşitli yöntemler kullanabilir.
Microsoft, kimliği doğrulanmamış zorlamayı önlemek için bu protokollerin bir kısmını yamalanmış olsa da, protokollerin istismar edilmeye devam etmesini sağlayan yaygın olarak bypass bulunur.
Bu hafta, güvenlik araştırmacısı Filip Dragovic, rasgele bir sunucuya karşı kimlik doğrulama akrabası için Microsoft'un dağıtılmış dosya sistemi (MS-DFSNM) protokolünü kullanan 'DFSCOerce' adlı yeni bir NTLM rölesi saldırısı için bir kavram kanıtı yayınladı.
DFSCOerce komut dosyası Petitpotam istismarına dayanır, ancak MS-EFSRPC kullanmak yerine, Windows dağıtılmış dosya sisteminin (DFS) bir RPC arabirimi üzerinden yönetilmesine izin veren bir protokol olan MS-DFSNM'yi kullanır.
Yeni NTLM röle saldırısını test eden güvenlik araştırmacıları, BleepingComputer'a bir Windows alanına sınırlı erişimi olan bir kullanıcının bir etki alanı yöneticisi olmasına kolayca izin verdiğini söyledi.
Araştırmacılar, BleepingComputer'a bu tür saldırıları önlemenin en iyi yolunun Microsoft'un Petitpotam NTLM röle saldırısını azaltma danışmanlığını takip etmek olduğunu söylüyor.
Bu azaltımlar, etki alanı denetleyicilerindeki NTLM'nin devre dışı bırakılması, Active Directory Sertifika Hizmetleri sunucularındaki Web hizmetlerinin devre dışı bırakılması ve Windows kimlik bilgilerini korumak için KOBİ imzalama gibi kimlik doğrulama ve imzalama özellikleri için genişletilmiş koruma sağlamaktır.
Diğer azaltma yöntemleri, sunucuların MS-DFSNM protokolü aracılığıyla zorlanmasını önlemek için Windows'un yerleşik RPC filtrelerini veya RPC güvenlik duvarını kullanmayı içerir.
Ancak, şu anda DFS RPC bağlantısını engellemenin bir ağdaki sorunlara neden olup olmayacağı bilinmemektedir.
Microsoft, çevrelerindeki DFSCOerce saldırısının nasıl önleneceği konusunda aşağıdaki rehberliği paylaştı.
Microsoft, "Bu teknik zaten onaylanmış bir kullanıcı hesabı gerektirir ve müşterilerin çok faktörlü kimlik doğrulamasını etkinleştirme ve mümkün olan en kısa sürede mevcut tüm güvenlik güncellemelerini yükleme gibi en iyi güvenlik uygulamalarını kullanmanızı öneririz."
"Bu tür saldırılara karşı korunmaya yardımcı olacak rehberlik burada mevcuttur: KB5005413: Active Directory Sertifika Hizmetlerine (AD CS) NTLM rölesi saldırılarını azaltmak."
Microsoft yeni petitpotam windows ntlm röle saldırı vektörünü düzeltir
CISA, Etki Alanı Denetleyicileri'nde Mayıs Windows güncellemelerini yüklememesi konusunda uyarıyor
Microsoft: Windows güncellemeleri reklam kimlik doğrulama hatalarına neden olabilir
Microsoft, tüm Windows sürümlerinde yeni NTLM Rölesi Zero Day'i düzeltir
Windows 'RemotePotato0' Zero-Day resmi olmayan bir yama alır
Kaynak: Bleeping Computer