Detecção de DFSCoerce: Novo Ataque de Relay NTLM Permite a Tomada de Controle de Domínio Windows

[post-views]
Junho 21, 2022 · 4 min de leitura
Detecção de DFSCoerce: Novo Ataque de Relay NTLM Permite a Tomada de Controle de Domínio Windows

Prepare-se para um novo PetitPotam-like NTLM relay attack que permite a completa tomada de controle do domínio Windows através do abuso do Microsoft’s Distributed File System (MS-DFSNM). O novo método de ataque, denominado DFSCoerce, permite que adversários coajam servidores Windows a autenticar com um relay sob controle dos hackers. Controladores de Domínio (DC) também são vulneráveis, o que representa um risco significativo de comprometimento de todo o domínio. O script de prova de conceito (PoC) para demonstrar o ataque DFSCoerce NTLM relay em ação está disponível publicamente no GitHub, portanto, tentativas de abuso em campo são esperadas em breve.

Detectar Ataque de Relay NTLM DFSCoerce

Para se proteger contra novos ataques de relay NTLM DFSCoerce e identificar oportunamente a atividade maliciosa associada às ameaças relacionadas, a equipe de desenvolvedores de conteúdo do SOC Prime lançou recentemente uma regra Sigma disponível na plataforma Detection as Code:

Possível Ataque de Relay NTLM DFSCoerce / MS-DFSNM (via auditoria)

Esta detecção é aplicável a 17 formatos de linguagem de SIEM, EDR e XDR suportados pela plataforma do SOC Prime e está mapeada para o framework MITRE ATT&CK® abordando táticas de Coleta e Movimento Lateral com o Adversário-no-Meio (T1557) e Serviços Remotos (T1021) como suas técnicas principais correspondentes.

Os profissionais de cibersegurança podem acessar este item de conteúdo após se inscrever ou fazer login na plataforma do SOC Prime. Além disso, os usuários do SOC Prime podem procurar instantaneamente por ameaças associadas ao método adversário DFSCoerce via módulo Quick Hunt usando a consulta de caça baseada em Sigma mencionada acima.

Para constantemente se manter atualizado sobre o sempre mutável cenário de ameaças cibernéticas e identificar oportunamente a presença maliciosa em seu ambiente, a plataforma do SOC Prime organiza 190.000+ itens de conteúdo Detection-as-Code únicos adaptados às necessidades específicas de cada organização. Para explorar ainda mais conteúdo SOC relacionado à detecção de ataque de relay NTLM, clique no botão Detect & Hunt e aprofunde-se na lista completa de regras Sigma que abordam o notório exploit PetitPotam. Para mergulhar instantaneamente no contexto abrangente de ameaças cibernéticas acompanhado de regras Sigma que correspondem aos critérios de pesquisa selecionados, a SOC Prime oferece uma ferramenta poderosa que permite navegar por quaisquer APT, explorações ou outras ameaças relevantes sem registro.

Detect & Hunt Explorar Contexto de Ameaça

Análise DFSCoerce

Para ilustrar os riscos críticos apresentados pelo novo ataque de relay NTLM DFSCoerce, o especialista de segurança Filip Dragovic lançou um script de prova de conceito que retransmite tentativas de autenticação para os servidores Windows através do MS-DFSNM. O novo método de ataque é, de fato, um derivativo do infame PetitPotam que abusa do Microsoft’s Encrypting File System Protocol (MS-EFSRPC) para iniciar o processo de autenticação em instâncias remotas do Windows e força-as a revelar os hashes NTLM ao adversário. Como resultado, o adversário obtém um certificado de autenticação aplicável para acessar qualquer serviço de domínio, incluindo o DC.

O DFSCoerce baseia-se em uma rotina similar, mas aproveita o MS-DFSNM em vez do MS-EFSRPC para fornecer aos adversários a capacidade de operar o Windows Distributed File System via uma interface de Chamada de Procedimento Remoto (RPC). Como resultado, um agente de ameaça que obtém acesso limitado a um domínio Windows pode facilmente se tornar o administrador do domínio e executar qualquer comando de sua escolha.

Pesquisadores de segurança sugerem que usuários que podem se encontrar na lista de alvos desses ataques devem optar por habilitar Filtros RPC do Windows ou usar o RPC Firewall. Outras opções incluem proteger credenciais de autenticação habilitando a Proteção Estendida para Autenticação e recursos de assinatura.

Inscreva-se gratuitamente no plataforma Detection as Code da SOC Prime para um futuro mais seguro criado com as melhores práticas da indústria de segurança e expertise compartilhada. A plataforma permite que os profissionais de segurança otimizem suas operações SOC participando de iniciativas de ponta, adaptando sua rotina para melhor se proteger contra ameaças emergentes e integrando suas ferramentas de segurança para o melhor desempenho.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom 6 min de leitura Ameaças Mais Recentes Detecção CVE-2025-8088: Zero-Day no WinRAR Está Sendo Ativamente Explorada para Instalar Malware RomCom by Daryna Olyniychuk Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa 4 min de leitura Ameaças Mais Recentes Vulnerabilidade CVE-2025-6558: Zero-Day no Google Chrome em Exploração Ativa by Daryna Olyniychuk CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação 4 min de leitura Ameaças Mais Recentes CVE-2025-25257: Vulnerabilidade crítica de injeção SQL no FortiWeb permite execução remota de código sem autenticação by Veronika Telychko
Todas as notícias