DFSCoerce — новая атака, позволяющая получить контроль над Windows-доменом

Екатерина Быстрова 21 Июня 2022 - 08:38

...

DFSCoerce — новая атака, позволяющая получить контроль над Windows-доменом

Новая форма атаки на NTLM-ретранслятор Windows, получившая имя “DFSCoerce“, использует распределённую файловую систему MS-DFSNM для получения контроля над Windows-доменом. Код демонстрационного эксплойта (proof-of-concept) уже готов.

Многие организации используют службы Microsoft Active Directory Certificate и инфраструктуру открытых ключей для аутентификации пользователей и устройств в доменах. Тем не менее часто не учитывается, что этот подход уязвим перед кибератаками на NTLM-ретранслятор, позволяющими злоумышленнику заставить домен аутентифицировать вредоносный NTLM-ретранслятор.

Такой вектор приводит к тому, что находящийся под контролем атакующих сервер перенаправляет запросы на аутентификацию по HTTP службам Active Directory Certificate, что позволяет получить билеты Ticket-Granting (TGT) Kerberos. TGT помогают злоумышленникам выдать себя за контроллер домена, повысить права, а также выполнить любую команду и получить контроль над доменом.

На этой неделе ИБ-специалист Филип Драгович опубликовал PoC-скрипт для атаки на NTLM-ретранслятор, получивший имя “DFSCoerce“. Драгович использовал в своём векторе протокол MS-DFSNM, взяв за основу для атаки эксплойт PetitPotam.

Эксперты, которых опросило издание BleepingComputer, подтвердили, что DFSCoerce позволяет атакующему с низким уровнем доступа стать администратором Windows-домена. Лучшим способ защититься от этой атаки специалисты назвали рекомендации самой Microsoft: отключить NTLM на контроллерах домена и разрешить Extended Protection for Authentication.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 26 Ноября 2024 - 17:22

Соответствие законодательству РФ Корпорации Средства поиска уязвимостей Соответствие требованиям регуляторов Positive Technologies

Standoff Bug Bounty включили в реестр российского софта

Решением Минцифры РФ платформа Standoff Bug Bounty внесена в единый реестр российского программного обеспечения. Ожидается, что регистрация продукта Positive Technologies расширит его использование для запуска профильных программ.

Согласно реестровой записи №24778 от 15.11.2024, платформа PT, предназначенная для организации поиска уязвимостей в активах за вознаграждение, классифицируется как средство автоматизации процессов ИБ.

Включение Standoff Bug Bounty в реестр российского софта означает, что данный продукт рекомендуется к использованию субъектами критически важной инфраструктуры (КИИ). К слову, для российских операторов КИИ запуск баг-баунти может вскоре стать обязательным.

«В некоторых случаях в рамках закупок государственные организации предъявляют требование подтвердить место происхождения программного обеспечения, — поясняет Юлия Воронова, директор по консалтингу центра компетенции PT. — Поэтому компания приняла решение внести Standoff Bug Bounty в единый реестр российского ПО. Этот шаг позволит расширить круг клиентов нашей платформы».

Площадка Standoff Bug Bounty функционирует с мая 2022 года. За истекший срок ее использовали более 80 раз для размещения программ баг-баунти, в том числе сама PT.

Число регистраций багхантеров уже превысило 16 тысяч. За 2,5 года через платформу подали около 8 тыс. отчетов об уязвимостях, в том числе критических (12%) и высокой степени опасности (20%).

За свои находки исследователи совокупно получили более 148 млн рублей. Примечательно, что предельные баунти, назначаемые за найденные уязвимости, сравнимы с предложениями зарубежных компаний.