在最近的网络安全研究中,介绍了一种新的NTLM继发攻击方法,用于Windows域控制服务器.继电器攻击方法叫做DFSCoerce,其核心原则是使用分布式文件系统(DFS)名称空间管理协议(MS-DFSNM)来控制Windows域服务器。
根据中国网络安全行业网站极牛网(GeekNB.com)的数据,MS-DFSNM提供远程进程调用RPC接口,以方便配置分布式文件系统。
在NTLM(NT Lan Manager)继发攻击模型中,恶意者位于客户端与服务器之间,截获和继发验证认证请求,以获得未经授权的访问网络资源,从而有效地获得AD域控制环境中的初始基础。
DFSCoerce的攻击方法与PetitPotam非常相似,PetitPotam攻击是对微软的加密文件系统远程协议(MS-EFSRPC)的滥用,以迫使Windows域名控制服务器通过攻击者控制的继电器进行认证。这样,攻击者可以控制整个域。
安全研究者认为,通过分析攻击方法的攻击链路,通过从域控制器传递NTLM认证请求到发证机构的证书登记服务,攻击者可以获得访问域控制器的证书。
为了减轻NTLM继发攻击,微软建议激活身份验证扩展保护(EPA)、SMB签名和关闭域控制服务器的HTTP通信。