针对Windows域控的新型NTLM中继攻击,可完全控制AD域控

针对Windows域控的新型NTLM中继攻击,可完全控制AD域控

在最近的网络安全研究中发现,一种针对Windows域控服务器的新型NTLM中继攻击方法曝光,该中继攻击方法被命名为DFSCoerce,其核心原理是利用分布式文件系统 (DFS)的命名空间管理协议 (MS-DFSNM) 来控制Windows域服务器。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,MS-DFSNM是为了方便管理分布式文件系统的配置,而提供的一个远程过程调用RPC接口。

NTLM(NT Lan Manager)中继攻击模型中,恶意方位于客户端和服务器之间,拦截和中继经过验证的身份验证请求,以获得对网络资源的未经授权的访问,从而有效地在AD域控环境中获得初步立足点。

新的NTLM继电器攻击使攻击者控制Windows域

DFSCoerce攻击方法和一个名为PetitPotam的攻击方法十分类似,该PetitPotam攻击方法是滥用微软的加密文件系统远程协议 (MS-EFSRPC) 来强制Windows域控服务器通过攻击者控制下的中继进行身份验证,以此让攻击者接管整个域控。

根据安全研究人员对该攻击手法的攻击链进行分析,通过将来自域控制器的 NTLM 身份验证请求中继到证书颁发机构的证书注册服务,攻击者可以获得一个用于访问域控的证书。

为了缓解该 NTLM 中继攻击,微软建议启用身份验证扩展保护 (EPA)、SMB 签名和关闭域控服务器上的HTTP通信等缓解措施。

 

针对Windows域控的新型NTLM中继攻击,可完全控制AD域控

极牛网精选文章《针对Windows域控的新型NTLM中继攻击,可完全控制AD域控》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/19826.html

(26)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
上一篇 2022年6月20日 上午11:43
下一篇 2022年6月22日 上午11:54

相关推荐

发表回复

登录后才能评论