DFSCoerce — новая атака, позволяющая получить контроль над Windows-доменом

DFSCoerce — новая атака, позволяющая получить контроль над Windows-доменом

DFSCoerce — новая атака, позволяющая получить контроль над Windows-доменом

Новая форма атаки на NTLM-ретранслятор Windows, получившая имя “DFSCoerce“, использует распределённую файловую систему MS-DFSNM для получения контроля над Windows-доменом. Код демонстрационного эксплойта (proof-of-concept) уже готов.

Многие организации используют службы Microsoft Active Directory Certificate и инфраструктуру открытых ключей для аутентификации пользователей и устройств в доменах. Тем не менее часто не учитывается, что этот подход уязвим перед кибератаками на NTLM-ретранслятор, позволяющими злоумышленнику заставить домен аутентифицировать вредоносный NTLM-ретранслятор.

Такой вектор приводит к тому, что находящийся под контролем атакующих сервер перенаправляет запросы на аутентификацию по HTTP службам Active Directory Certificate, что позволяет получить билеты Ticket-Granting (TGT) Kerberos. TGT помогают злоумышленникам выдать себя за контроллер домена, повысить права, а также выполнить любую команду и получить контроль над доменом.

На этой неделе ИБ-специалист Филип Драгович опубликовал PoC-скрипт для атаки на NTLM-ретранслятор, получивший имя “DFSCoerce“. Драгович использовал в своём векторе протокол MS-DFSNM, взяв за основу для атаки эксплойт PetitPotam.

 

Эксперты, которых опросило издание BleepingComputer, подтвердили, что DFSCoerce позволяет атакующему с низким уровнем доступа стать администратором Windows-домена. Лучшим способ защититься от этой атаки специалисты назвали рекомендации самой Microsoft: отключить NTLM на контроллерах домена и разрешить Extended Protection for Authentication.

Песков назвал ограничения ЕС против МАКС проявлением репрессий

В Кремле отреагировали на санкции Евросоюза против мессенджера МАКС. Пресс-секретарь президента Дмитрий Песков назвал решение Брюсселя абсолютно абсурдным и заявил, что оно показывает репрессивный характер европейской санкционной политики.

Слова Пескова приводят СМИ. Напомним, что накануне ЕС внес под ограничения головную структуру VK и ее дочернюю компанию ООО «Коммуникационная платформа» — разработчика и оператора МАКС.

Поводом для санкций стала связь компаний с национальным мессенджером.

История, впрочем, началась еще раньше. В июне приложения VK и МАКС удалили из App Store. Уже установленные версии продолжают работать, но обновить их через магазин Apple теперь нельзя.

В VK уверяют, что санкции на работу мессенджера не повлияли. По данным компании, МАКС и другие сервисы доступны пользователям в обычном режиме.

Остается понять, ограничится ли дело санкционными списками и удалением из App Store или вокруг МАКС появятся новые барьеры. Пока же политический шум заметно громче технических последствий.

RSS: Новости на портале Anti-Malware.ru