DFSCoerce という新たな NTLM リレー攻撃:PetitPotam にように Windows ドメインを乗っ取る?

New NTLM Relay Attack Lets Attackers Take Control Over Windows Domain

2022/06/21 TheHackerNews — DFSCoerce と呼ばれる、新しい種類の Windows NTLM リレー攻撃が発見された。この攻撃では、ドメインの制御を掌握するために、Distributed File System (DFS): Namespace Management Protocol (MS-DFSNM) が悪用されていることが判明した。

セキュリティ研究者である Filip Dragovic は、「スプーラ・サービスを無効にし、PetitPotam を防ぐためにRPC フィルターをインストールし、ファイルサーバーVSSエージェントサービスをインストールしていないのに、ドメイン・コントローラー認証を Active Directory Certificate Services にリレーしたいだろうか? MS-DFSNM によるサポートについて、心配しないでほしい」いてほしいツイートしている。

この MS-DFSNM とは、分散ファイル・システム構成を管理するための、RPC インタフェースを提供するものだ。

NTLM (NT Lan Manager) リレー攻撃は、チャレンジ・レスポンス機構を悪用することで成立する一般的な方法である。この攻撃は、クライアントとサーバーの間に悪意の人物が入り込み、認証済みリクエストを傍受/中継することで、ネットワーク・リソースへの不正アクセスを可能にし、Active Directory 環境 における最初の足がかりを効果的に獲得するものだ。

DFSCoerce の発見は、Microsoft の Encrypting File System Remote Protocol (MS-EFSRPC) の悪用に成功した攻撃者が、ドメイン・コントローラーを含む Windows サーバーを攻撃者の制御下におくというものだ。続いて、リレーで認証するよう強制し、脅威者がドメイン全体を乗っ取る可能性が生じる。それと類似するものとして、PetitPotam という手法が存在する。

CERT Coordination Center (CERT/CC) は、この攻撃チェーンについて、「ドメイン・コントローラーからの NTLM 認証リクエストを、AD CS システム上の認証局 Web 登録または、証明書登録 Web サービスにリレーすることで、攻撃者は、ドメイン・コントローラーから Ticket Granting Ticket (TGT) を取得するための証明書を入手できる」と指摘している。

Microsoft は、NTLM リレー攻撃を軽減するために、EPA (Extended Protection for Authentication)/SMB 署名/AD CS サーバーの HTTP をオフにするなどの、保護機能を有効にすることを推奨している。

NTLM (NT Lan Manager) リレー攻撃に関しては、これまでに 2022年5月10日の「Microsoft Windows における NTLM ゼロデイ脆弱性が FIX:ドメインを乗っ取りの可能性」と、5月14日の「Microsoft を悩ます PetitPotam Windows NTLM リレー攻撃:完全な FIX には時間が必要?」があります。これらの記事では、「PetitPotam 攻撃とは、未認証のユーザーが MS-EFSRPC API の EfsRpcOpenFileRaw 関数を悪用し、攻撃者が管理するサーバーへの NTLM認証を、対象デバイスに実行させるものである。この攻撃のデモは、以下で確認できる」と解説されています。今回の DFSCoerce についても、続報が出てきそうな気がします。

%d bloggers like this: