Rilevamento DFSCoerce: Nuovo Attacco di Relay NTLM che Consente l’Acquisizione del Dominio Windows

[post-views]
Giugno 21, 2022 · 4 min di lettura
Rilevamento DFSCoerce: Nuovo Attacco di Relay NTLM che Consente l’Acquisizione del Dominio Windows

Preparati per un nuovo attacco di relay NTLM simile a PetitPotam– che consente la completa acquisizione di un dominio Windows tramite l’abuso del Microsoft’s Distributed File System (MS-DFSNM). Il nuovo metodo di attacco, denominato DFSCoerce, permette agli avversari di costringere i server Windows ad autenticarsi con un relay sotto il controllo degli hacker. Anche i Domain Controllers (DC) sono vulnerabili, il che rappresenta un rischio significativo di compromissione dell’intero dominio. Il script proof-of-concept (PoC) per mostrare l’attacco di relay NTLM DFSCoerce in azione è disponibile pubblicamente su GitHub, pertanto ci si aspetta presto tentativi di abuso in-the-wild.

Rileva l’Attacco di Relay NTLM DFSCoerce

Per proteggersi dai nuovi attacchi di relay NTLM DFSCoerce e identificare tempestivamente l’attività dannosa associata ai relativi rischi, il team di content developers di SOC Prime ha recentemente rilasciato una regola Sigma disponibile sulla piattaforma Detection as Code:

Possibile Attacco di Relay NTLM DFSCoerce / MS-DFSNM (via audit)

Questa rilevazione è applicabile a 17 formati di linguaggi SIEM, EDR e XDR supportati dalla piattaforma di SOC Prime ed è mappata al framework MITRE ATT&CK® indirizzando le tattiche di Raccolta e Movimento Laterale con l’Adversary-in-the-Middle (T1557) e Servizi Remoti (T1021) come tecniche primarie corrispondenti.

I professionisti della sicurezza informatica possono accedere a questo elemento di contenuto registrandosi o accedendo alla piattaforma di SOC Prime. Inoltre, gli utenti di SOC Prime possono cercare immediatamente le minacce associate al metodo avversario DFSCoerce tramite il modulo Quick Hunt utilizzando la query di ricerca basata su Sigma menzionata sopra.

Per tenre costantemente il passo con l’evoluzione continua del panorama delle minacce informatiche e identificare tempestivamente la presenza dannosa nel proprio ambiente, la piattaforma di SOC Prime cura oltre 190.000 elementi unici di contenuto Detection-as-Code adattati alle esigenze specifiche delle organizzazioni. Per esplorare ancora più contenuti SOC relativi alla rilevazione degli attacchi di relay NTLM, clicca sul pulsante Detect & Hunt e analizza l’intero elenco di regole Sigma che affrontano il famigerato exploit PetitPotam. Per immergersi istantaneamente nel contesto completo delle minacce informatiche accompagnato da regole Sigma che corrispondono ai criteri di ricerca selezionati, SOC Prime offre uno strumento potente che consente di sfogliare qualsiasi APT, exploit o altre minacce rilevanti senza registrazione.

Detect & Hunt Esplora il Contesto della Minaccia

Analisi DFSCoerse

Per illustrare i rischi critici posti dal nuovo attacco di relay NTLM DFSCoerce, l’esperto di sicurezza Filip Dragovic ha rilasciato uno script proof-of-concept che relè i tentativi di autenticazione ai server Windows tramite MS-DFSNM. Il nuovo metodo di attacco è, infatti, un derivato del famigerato PetitPotam che sfrutta il Microsoft’s Encrypting File System Protocol (MS-EFSRPC) per avviare il processo di autenticazione all’interno delle istanze remote di Windows e costringerle a rivelare gli hash NTLM all’avversario. Come risultato, l’avversario ottiene un certificato di autenticazione applicabile per accedere a qualsiasi servizio di dominio, inclusi i DC.

DFSCoerce si basa su una routine simile ma sfrutta MS-DFSNM invece di MS-EFSRPC per consentire agli avversari la possibilità di operare il Windows Distributed File System tramite un’interfaccia Remote Procedure Call (RPC). Come risultato, un attore di minacce che ottiene un accesso limitato a un dominio Windows può facilmente diventare l’amministratore del dominio ed eseguire qualsiasi comando a sua scelta.

I ricercatori di sicurezza suggeriscono che gli utenti che possono trovarsi sulla lista degli obiettivi per questi attacchi dovrebbero optare per abilitare i Filtri RPC di Windows o utilizzare il RPC Firewall. Altre opzioni includono la protezione delle credenziali di autenticazione abilitando la Protezione Estesa per l’Autenticazione e firmando le funzionalità.

Registrati gratuitamente alla piattaforma Detection as Code di SOC Prime per un futuro più sicuro costruito con le migliori pratiche dell’industria della sicurezza e l’esperienza condivisa. La piattaforma consente ai professionisti della sicurezza di ottimizzare le loro operazioni SOC partecipando a iniziative di alto livello, adattando la loro routine per meglio proteggersi dalle minacce emergenti e integrando i loro strumenti di sicurezza per la massima performance.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Rilevamento CVE-2025-8088: WinRAR Zero-Day Viene Attivamente Sfruttato in Natura per Installare il Malware RomCom 6 min di lettura Ultime Minacce Rilevamento CVE-2025-8088: WinRAR Zero-Day Viene Attivamente Sfruttato in Natura per Installare il Malware RomCom by Daryna Olyniychuk Vulnerabilità CVE-2025-6558: Zero-Day di Google Chrome Sfruttato Attivamente 4 min di lettura Ultime Minacce Vulnerabilità CVE-2025-6558: Zero-Day di Google Chrome Sfruttato Attivamente by Daryna Olyniychuk CVE-2025-25257: Vulnerabilità critica di SQL injection in FortiWeb consente esecuzione di codice da remoto senza autenticazione 4 min di lettura Ultime Minacce CVE-2025-25257: Vulnerabilità critica di SQL injection in FortiWeb consente esecuzione di codice da remoto senza autenticazione by Veronika Telychko
Tutte le notizie