Relais NTLM : l’attaque DFSCoerce permet de prendre le contrôle de l’Active Directory

Une nouvelle attaque de type relais NTLM surnommée DFSCoerce fait beaucoup parler d'elle ces derniers jours, car elle permet de prendre le contrôle d'un domaine Active Directory. Elle se situe au sein du service DFS de Windows. Faisons le point.

Depuis un moment, on parle régulièrement de ces fameuses attaques de type relais NTLM, notamment depuis la découverte de la faille de sécurité PetitPotam, puis plus récemment avec la faille de sécurité "CVE-2022-26925". Désormais, et même si vous êtes protégés contre ces vecteurs d'exploitation précédemment découverts, il est possible de réaliser une attaque de type relais NTLM par l'intermédiaire de l'interface RPC "MS-DFSNM" associée au service DFS.

À ce sujet, voici le tweet mis en ligne par le chercheur en sécurité Filip Dragovic au sujet de cette vulnérabilité :  "Le service de spouleur est désactivé, les filtres RPC sont installés pour empêcher PetitPotam et le service d'agent VSS du serveur de fichiers n'est pas installé, mais vous voulez quand même relayer l'authentification du contrôleur de domaine aux services de certification Active Directory ? Ne vous inquiétez pas, MS-DFSNM assure vos arrières." - Cette nouvelle faille de sécurité est un peu dans le même esprit que PetitPotam qui s'appuyait sur MS-EFSRPC, sauf qu'ici c'est MS-DFSNM. En fait, le script associé à la vulnérabilité DFSCoerce est basé sur celui de PetitPotam sauf qu'il ne s'appuie pas sur le même composant de Windows.

Pour exploiter cette vulnérabilité, l'attaquant doit disposer d'une machine dans le domaine Active Directory, sans forcément avoir des droits spécifiques sur le domaine. Néanmoins, grâce à la méthode d'exploitation DFSCoerce, l'attaquant peut prendre le contrôle du domaine en obtenant un ticket Kerberos (Golden Ticket).

Pour se protéger, il faut commencer par mettre à jour son serveur ce qui va permettre de bloquer une partie des requêtes, mais il est recommandé d'effectuer des actions complémentaires, notamment forcer le HTTPS sur les serveurs ADCS (autorité de certification Active Directory), désactiver les requêtes NTLM entrantes sur les serveurs ADCS, activer la signature SMB, mais aussi désactiver NTLM dans IIS. Cette page du CERT.ORG donne des informations techniques intéressantes pour vous guider : DFSCoerce.

Source

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3858 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.