Une nouvelle attaque de type relais NTLM surnommée DFSCoerce fait beaucoup parler d'elle ces derniers jours, car elle permet de prendre le contrôle d'un domaine Active Directory. Elle se situe au sein du service DFS de Windows. Faisons le point.

Depuis un moment, on parle régulièrement de ces fameuses attaques de type relais NTLM, notamment depuis la découverte de la faille de sécurité PetitPotam, puis plus récemment avec la faille de sécurité "CVE-2022-26925". Désormais, et même si vous êtes protégés contre ces vecteurs d'exploitation précédemment découverts, il est possible de réaliser une attaque de type relais NTLM par l'intermédiaire de l'interface RPC "MS-DFSNM" associée au service DFS.

À ce sujet, voici le tweet mis en ligne par le chercheur en sécurité Filip Dragovic au sujet de cette vulnérabilité :  "Le service de spouleur est désactivé, les filtres RPC sont installés pour empêcher PetitPotam et le service d'agent VSS du serveur de fichiers n'est pas installé, mais vous voulez quand même relayer l'authentification du contrôleur de domaine aux services de certification Active Directory ? Ne vous inquiétez pas, MS-DFSNM assure vos arrières." - Cette nouvelle faille de sécurité est un peu dans le même esprit que PetitPotam qui s'appuyait sur MS-EFSRPC, sauf qu'ici c'est MS-DFSNM. En fait, le script associé à la vulnérabilité DFSCoerce est basé sur celui de PetitPotam sauf qu'il ne s'appuie pas sur le même composant de Windows.

Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'une machine dans le domaine Active Directory, sans forcément avoir des droits spécifiques sur le domaine. Néanmoins, grâce à la méthode d'exploitation DFSCoerce, l'attaquant peut prendre le contrôle du domaine en obtenant un ticket Kerberos (Golden Ticket).

Pour se protéger, il faut commencer par mettre à jour son serveur ce qui va permettre de bloquer une partie des requêtes, mais il est recommandé d'effectuer des actions complémentaires, notamment forcer le HTTPS sur les serveurs ADCS (autorité de certification Active Directory), désactiver les requêtes NTLM entrantes sur les serveurs ADCS, activer la signature SMB, mais aussi désactiver NTLM dans IIS. Cette page du CERT.ORG donne des informations techniques intéressantes pour vous guider : DFSCoerce.

Source

The post Relais NTLM : l’attaque DFSCoerce permet de prendre le contrôle de l’Active Directory first appeared on IT-Connect.