0xNews - 윈도우 도메인을 노리는 새로운 NTLM 릴레기 공격 경고
0xNews - 윈도우 도메인을 노리는 새로운 NTLM 릴레기 공격 경고
Filip Dragovic 보안연구원 공개
https://twitter.com/filip_dragovic/status/1538154721655103488
DFSCoerce 라고 하는 새로운 종류의 윈도우 NTLM 릴레이 공격이 DFS Distributed File System 분산 파일 시스템의 MS-DFSNM Namespace Management 을 활용
윈도우 도메인 제어의 권한을 점유할 수 있는 것으로 확인
MS-DFSNM Namespace Management 은 분산 파일 시스템 구성을 관리하기 위한 RPC Remote Procedure Call 인터페이스를 제공
NTLM NT Lan Manager 릴레이 공격은 시도와 응답 메커니즘을 이용하는 잘 알려진 방법
이를 통해 공격자가 클라이언트와 서버 사이에 위치해서 검증된 인증 요청을 중간에 가로채고 릴레이를 수행
네트워크 리소스에 대한 무단 접근을 할 수 있음으로 AD Active Directory 환경에서 효과적으로 초기 공격 발판을 확보할 수 있음
DFSCoerce 발견은 MS-EFSRPC Encrypting File System Remote Protocol 남용하여 공격자의 제어하에 있는 릴레이를 통해 인증하도록 도메인 컨트롤러를 포함한 윈도우 서버를 강제하는 PetitPotam 이라는 방법과 유사
DFSCoerce 의 Github 사이트 정보 공개
https://github.com/Wh04m1001/DFSCoerce
도메인 컨트롤러의 NTLM 인증 요청을 AD CS 시스템의 인증 기관 웹 등록이나 인증서 등록 웹 서비스로 중계함으로써 공격자는 TGT Ticket Granting Ticket 를 얻는데 사용할 수 있는 인증서를 얻을 수 있음
NTLM 릴레이 공격을 완화하기 위해 MS 는 EPA Extended Protection for Authentication, SMB 서명과 같은 보호를 활성화
AD CS 서버에서 HTTP 서비스를 비활성화하는 것을 권고
댓글
댓글 쓰기
글과 상관없는 댓글 작성은 발견 즉시 삭제합니다.