新的DFSCoerce NTLM中继攻击允许攻击者控制Windows域

Security Affairs 网站披露,安全专家发现了一种名为 DFSCoerce 的新型 Windows NTLM 中继攻击,它允许攻击者控制 Windows 域。1655876679_62b2ac47d169b6bfd38f4

DFSCoerce 攻击依赖分布式文件系统 (DFS):命名空间管理协议 (MS-DFSNM) 来完全控制 Windows 域。分布式文件系统 (DFS):命名空间管理协议为管理 DFS 配置提供了 RPC 接口。

安全研究员 Filip Dragovic 发布了一个新的 NTLM 中继攻击的概念验证脚本,该 PoC 基于 PetitPotam 漏洞,并滥用 MS-DFSNM 协议而不是使用 MS-EFSRPC。1655876708_62b2ac64ce5e401e69659

著名 CERT/CC 专家 Will Dormann 证实,该攻击可能允许威胁攻击者从域控制器获取 Ticket Granting Ticket (TGT)。1655876722_62b2ac72d237b8b41582e

为了缓解该攻击,研究人员建议应遵循微软关于缓解 PetitPotam NTLM 中继攻击的建议,例如禁用域控制器上的 NTLM 并启用身份验证扩展保护 (EPA) 和签名功能,以及关闭 AD CS 服务器上的 HTTP。

参考文章:

New DFSCoerce NTLM relay attack allows taking control over Windows domains

本文作者:wzb123, 转载请注明来自FreeBuf.COM

主题测试文章,只做测试使用。发布者:1869,转转请注明出处:https://community.anqiangkj.com/archives/18174

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年6月22日 下午4:19
下一篇 2022年6月22日 下午4:24

相关推荐