Serangan Relay NTLM Baru Memungkinkan Penyerang Mengambil Kontrol Atas Domain Windows

  • Whatsapp
Serangan Relay NTLM Baru Memungkinkan Penyerang Mengambil Kontrol Atas Domain Windows
Serangan Relay NTLM Baru Memungkinkan Penyerang Mengambil Kontrol Atas Domain

News.nextcloud.asia –

Jenis baru serangan relai Windows NTLM dijuluki DFSCoerce telah ditemukan yang memanfaatkan Sistem File Terdistribusi (DFS): Namespace Management Protocol (MS-DFSNM) untuk menguasai domain.

“Layanan Spooler dinonaktifkan, filter RPC dipasang untuk mencegah PetitPotam dan Layanan Agen VSS File Server tidak diinstal tetapi Anda masih ingin menyampaikan [Domain Controller authentication to [Active Directory Certificate Services]? Jangan khawatir MS-DFSNM mendukung Anda,” peneliti keamanan Filip Dragovic dikatakan dalam sebuah tweet.

Keamanan cyber

MS-DFSNM menyediakan antarmuka panggilan prosedur jarak jauh (RPC) untuk mengelola konfigurasi sistem file terdistribusi.

Serangan relai NTLM (NT Lan Manager) adalah metode terkenal yang mengeksploitasi mekanisme tantangan-respons. Hal ini memungkinkan pihak jahat untuk duduk di antara klien dan server dan mencegat dan menyampaikan permintaan otentikasi yang divalidasi untuk mendapatkan akses tidak sah ke sumber daya jaringan, secara efektif mendapatkan pijakan awal di lingkungan Active Directory.

Penemuan DFSCoerce mengikuti metode serupa yang disebut PetitPotam yang penyalahgunaan Microsoft Encrypting File System Remote Protocol (MS-EFSRPC) untuk memaksa server Windows, termasuk pengontrol domain, untuk mengautentikasi dengan relai di bawah kendali penyerang, membiarkan aktor ancaman berpotensi mengambil alih seluruh domain.

Keamanan cyber

Dengan menyampaikan permintaan otentikasi NTLM dari pengontrol domain ke Pendaftaran Otoritas Sertifikat Web atau Layanan Web Pendaftaran Sertifikat pada sistem AD CS, penyerang dapat memperoleh sertifikat yang dapat digunakan untuk mendapatkan Tiket Pemberian Tiket (TGT) dari pengontrol domain,” Pusat Koordinasi CERT (CERT/CC) dicatatmerinci rantai serangan.

Untuk mengurangi serangan relai NTLM, Microsoft merekomendasikan mengaktifkan perlindungan seperti Extended Protection for Authentication (EPA), penandatanganan SMB, dan mematikan HTTP di server AD CS.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.