Detección de DFSCoerce: Nuevo Ataque de Relay NTLM que Permite la Toma de Control del Dominio de Windows
Tabla de contenidos:
Prepárate para un nuevo PetitPotamataque de retransmisión NTLM similar, que permite la toma de control total del dominio de Windows mediante el abuso del Sistema de Archivos Distribuidos de Microsoft (MS-DFSNM). El nuevo método de ataque, denominado DFSCoerce, permite a los adversarios coaccionar a los servidores de Windows para que autentiquen con un relé bajo el control de los hackers. Los Controladores de Dominio (DC) también son vulnerables, lo que representa un riesgo significativo de compromiso de todo el dominio. El script de prueba de concepto (PoC) para mostrar el ataque de retransmisión NTLM DFSCoerce en acción está disponible públicamente a través de GitHub; por lo tanto, se esperan intentos de abuso in-the-wild pronto.
Detectar ataque de retransmisión NTLM DFSCoerce
Para mantenerse protegido contra nuevos ataques de retransmisión NTLM DFSCoerce e identificar oportunamente la actividad maliciosa asociada con las amenazas relacionadas, el equipo de desarrolladores de contenido de SOC Prime ha lanzado recientemente una regla Sigma disponible en la plataforma Detection as Code:
Posible Ataque de Retransmisión NTLM DFSCoerce / MS-DFSNM (vía auditoría)
Esta detección es aplicable a 17 formatos de lenguaje SIEM, EDR y XDR compatibles con la plataforma de SOC Prime y está mapeada al marco de trabajo MITRE ATT&CK® abordando tácticas de Colección y Movimiento Lateral con el Adversario-en-el-Medio (T1557) y Servicios Remotos (T1021) como sus técnicas primarias correspondientes.
Los profesionales en ciberseguridad pueden acceder a este ítem de contenido después de registrarse o iniciar sesión en la plataforma de SOC Prime. Además, los usuarios de SOC Prime pueden buscar instantáneamente amenazas asociadas con el método adversario DFSCoerce a través del módulo de Búsqueda Rápida utilizando la consulta de caza basada en Sigma mencionada anteriormente.
Para mantenerse constantemente al tanto del panorama de amenazas cibernéticas en constante cambio e identificar oportunamente la presencia maliciosa en su entorno, la plataforma de SOC Prime selecciona más de 190,000 ítems de contenido único Detection-as-Code adaptados a necesidades específicas de la organización. Para explorar aún más contenido de SOC relacionado con la detección de ataques de retransmisión NTLM, haga clic en el botón Detectar & Cazar y profundice en la lista completa de reglas Sigma que abordan el notorio exploit PetitPotam. Para sumergirse instantáneamente en el contexto de amenaza cibernética integral acompañado de reglas Sigma que coinciden con los criterios de búsqueda seleccionados, SOC Prime ofrece una potente herramienta que permite navegar por cualquier APT, exploit u otras amenazas relevantes sin registrarse.
Detectar & Cazar Explorar Contexto de Amenaza
Análisis de DFSCoerce
Para ilustrar los riesgos críticos que plantea el nuevo ataque de retransmisión NTLM DFSCoerce, el experto en seguridad Filip Dragovic ha lanzado un script de prueba de concepto que retransmite intentos de autenticación a los servidores de Windows a través de MS-DFSNM. El nuevo método de ataque es, de hecho, el derivado del infame PetitPotam que abusa del Protocolo de Sistema de Archivos Encriptados de Microsoft (MS-EFSRPC) para iniciar el proceso de autenticación dentro de instancias remotas de Windows y los obliga a revelar los hashes NTLM al adversario. Como resultado, el adversario obtiene un certificado de autenticación aplicable para acceder a cualquier servicio de dominio, incluido el DC.
DFSCoerce se basa en una rutina similar pero aprovecha MS-DFSNM en lugar de MS-EFSRPC para proporcionar a los adversarios la capacidad de operar el Sistema de Archivos Distribuidos de Windows a través de una interfaz de Llamada a Procedimiento Remoto (RPC). Como resultado, un actor de amenaza que obtenga acceso limitado a un dominio de Windows puede fácilmente convertirse en administrador de dominio y ejecutar cualquier comando de su elección.
Los investigadores de seguridad sugieren que los usuarios que puedan encontrarse en la lista de objetivos de estos ataques deberían optar por habilitar los Filtros RPC de Windows o usar el Firewall RPC. Otras opciones incluyen proteger las credenciales de autenticación habilitando la Protección Extendida para la Autenticación y las funciones de firma.
Regístrese gratis en la plataforma de Detection as Code de SOC Prime para un futuro más seguro elaborado con las mejores prácticas de la industria de seguridad y la experiencia compartida. La plataforma permite a los profesionales de seguridad optimizar sus operaciones de SOC participando en iniciativas de primer nivel, adaptando su rutina para proteger mejor de las amenazas emergentes y realizando la integración de sus herramientas de seguridad para un rendimiento óptimo.
