新しいNTLMリレー攻撃により、攻撃者はWindowsドメインを制御できます from thehackernews.com
security summary
これは、分散ファイルシステム(DFS):名前空間管理プロトコル(MS-DFSNM)を利用してドメインの制御を奪います。
NTLM(NT Lan Manager)リレー攻撃は、チャレンジレスポンスメカニズムを悪用するよく知られた方法です。
DFSCoerceの発見は、Microsoftの暗号化ファイルシステムリモートプロトコル(MS-EFSRPC)を悪用して、ドメインコントローラーを含むWindowsサーバーを攻撃者の制御下にあるリレーで認証するように強制する、PetitPotamと呼ばれる同様の方法に従い、脅威の攻撃者が全体を乗っ取る可能性があります。
「ドメインコントローラーからのNTLM認証要求をADCSシステムの認証局Web登録または証明書登録Webサービスに中継することにより、攻撃者は、からチケット許可チケット(TGT)を取得するために使用できる証明書を取得できます。ドメインコントローラー」とCERTCoordinationCenter(CERT / CC)が指摘し、攻撃チェーンの詳細を説明しました。
コメント