Détection de DFSCoerce: Nouvelle attaque de relais NTLM permettant la prise de contrôle d’un domaine Windows
Table des matières :
Préparez-vous pour une nouvelle PetitPotam-comme attaque par relais NTLM permettant une prise de contrôle complète du domaine Windows via l’abus du Système de Fichiers Distribués de Microsoft (MS-DFSNM). La nouvelle méthode d’attaque, appelée DFSCoerce, permet aux adversaires de contraindre les serveurs Windows à s’authentifier avec un relais sous le contrôle des pirates. Les contrôleurs de domaine (DC) sont également vulnérables, ce qui pose un risque significatif de compromission de l’ensemble du domaine. Le script de preuve de concept (PoC) pour démontrer l’attaque par relais NTLM DFSCoerce est disponible publiquement via GitHub, par conséquent, des tentatives d’abus en milieu sauvage sont attendues sous peu.
Détecter l’attaque par relais NTLM DFSCoerce
Pour rester protégé contre les nouvelles attaques par relais NTLM DFSCoerce et identifier en temps opportun l’activité malveillante associée aux menaces connexes, l’équipe de développeurs de contenu de SOC Prime a récemment publié une règle Sigma disponible dans la plateforme Detection as Code :
Possibilité d’attaque par relais NTLM DFSCoerce / MS-DFSNM (via audit)
Cette détection est applicable à 17 formats de langage SIEM, EDR et XDR pris en charge par la plateforme de SOC Prime et est mappée au cadre MITRE ATT&CK® traitant des tactiques de Collection et de Mouvement latéral avec l’Adversary-in-the-Middle (T1557) et Remote Services (T1021) comme leurs techniques principales correspondantes.
Les praticiens de la cybersécurité peuvent accéder à cet élément de contenu après s’être inscrits ou connectés à la plateforme de SOC Prime. De plus, les utilisateurs de SOC Prime peuvent rechercher instantanément les menaces associées à la méthode adverse DFSCoerce via le module de recherche rapide en utilisant la requête de chasse basée sur Sigma mentionnée ci-dessus.
Pour rester constamment au courant du paysage cybernétique en constante évolution et identifier en temps opportun la présence malveillante dans votre environnement, la plateforme de SOC Prime organise plus de 190 000 éléments de contenu unique en Detection as Code adaptés aux besoins spécifiques de chaque organisation. Pour explorer encore plus de contenu SOC lié à la détection d’attaques par relais NTLM, cliquez sur Détecter & Chasser et explorez la liste complète des règles Sigma traitant de l’exploit notoire PetitPotam. Pour plonger instantanément dans le contexte cybernétique complet accompagné des règles Sigma correspondant aux critères de recherche sélectionnés, SOC Prime offre un outil puissant qui permet de naviguer parmi toute APT, exploit ou autre menace pertinente sans inscription.
Détecter & Chasser Explorer le contexte des menaces
Analyse DFSCoerse
Pour illustrer les risques critiques posés par la nouvelle attaque par relais NTLM DFSCoerce, l’expert en sécurité Filip Dragovic a publié un script de preuve de concept qui relaie les tentatives d’authentification aux serveurs Windows via MS-DFSNM. La nouvelle méthode d’attaque est, en fait, le dérivé de l’infâme PetitPotam qui exploite le protocole de système de fichiers de chiffrement de Microsoft (MS-EFSRPC) pour initier le processus d’authentification au sein des instances Windows à distance et les contraint à révéler les hachages NTLM à l’adversaire. En conséquence, l’adversaire obtient un certificat d’authentification applicable à l’accès à tout service de domaine, y compris le DC.
DFSCoerce repose sur une routine similaire mais utilise MS-DFSNM au lieu de MS-EFSRPC pour donner aux adversaires la possibilité d’exploiter le système de fichiers distribué Windows via une interface d’appel de procédure à distance (RPC). En conséquence, un acteur menaçant obtenant un accès limité à un domaine Windows peut facilement devenir l’administrateur du domaine et exécuter toute commande de son choix.
Les chercheurs en sécurité suggèrent que les utilisateurs qui pourraient se retrouver sur la liste des cibles pour ces attaques devraient opter pour l’activation des filtres RPC de Windows ou l’utilisation du pare-feu RPC. D’autres options incluent la protection des informations d’identification d’authentification en activant la protection étendue pour l’authentification et les fonctionnalités de signature.
Inscrivez-vous gratuitement sur la plateforme SOC Prime’s Detection as Code pour un avenir plus sécurisé façonné par les meilleures pratiques de l’industrie de la sécurité et l’expertise partagée. La plateforme permet aux praticiens de la sécurité de rationaliser leurs opérations SOC en participant à des initiatives de premier plan, en adaptant leur routine pour mieux se protéger des menaces émergentes et en intégrant leurs outils de sécurité pour une performance optimale.
