0xNews - 윈도우 도메인을 노리는 새로운 NTLM 릴레기 공격 경고

0xNews - 윈도우 도메인을 노리는 새로운 NTLM 릴레기 공격 경고


Filip Dragovic 보안연구원 공개

https://twitter.com/filip_dragovic/status/1538154721655103488




DFSCoerce 라고 하는 새로운 종류의 윈도우 NTLM 릴레이 공격이 DFS Distributed File System 분산 파일 시스템의 MS-DFSNM Namespace Management 을 활용

윈도우 도메인 제어의 권한을 점유할 수 있는 것으로 확인


MS-DFSNM Namespace Management 은 분산 파일 시스템 구성을 관리하기 위한 RPC Remote Procedure Call 인터페이스를 제공


NTLM NT Lan Manager 릴레이 공격은 시도와 응답 메커니즘을 이용하는 잘 알려진 방법

이를 통해 공격자가 클라이언트와 서버 사이에 위치해서 검증된 인증 요청을 중간에 가로채고 릴레이를 수행

네트워크 리소스에 대한 무단 접근을 할 수 있음으로 AD Active Directory 환경에서 효과적으로 초기 공격 발판을 확보할 수 있음


DFSCoerce 발견은 MS-EFSRPC Encrypting File System Remote Protocol 남용하여 공격자의 제어하에 있는 릴레이를 통해 인증하도록 도메인 컨트롤러를 포함한 윈도우 서버를 강제하는 PetitPotam 이라는 방법과 유사


DFSCoerce 의 Github 사이트 정보 공개

https://github.com/Wh04m1001/DFSCoerce


도메인 컨트롤러의 NTLM 인증 요청을 AD CS 시스템의 인증 기관 웹 등록이나 인증서 등록 웹 서비스로 중계함으로써 공격자는 TGT Ticket Granting Ticket 를 얻는데 사용할 수 있는 인증서를 얻을 수 있음


NTLM 릴레이 공격을 완화하기 위해 MS 는 EPA Extended Protection for Authentication, SMB 서명과 같은 보호를 활성화

AD CS 서버에서 HTTP 서비스를 비활성화하는 것을 권고


댓글

이 블로그의 인기 게시물

0xNews - 리눅스 커널에서 새로운 권한 상승 취약점 발견

0xNews - 리눅스 커널의 Netfilter 방화벽 모듈에서 새로운 취약점 발견

0xNews - 안드로이드 애뮬레이터인 NoxPlayer 를 통한 소프트웨어 공급망 Supply-Chain 공격 경고