DFSCoerceNTLM中继攻击，轻松掌控Windows域

标题：DFSCoerce NTLM中继攻击，轻松控制Windows域 内容摘要：Security Affairs网站报道，安全专家发现了一种名为DFSCoerce的新型Windows NTLM中继攻击。该攻击利用分布式文件系统（DFS）：命名空间管理协议（MS-DFSNM），通过RPC接口管理DFS配置，使攻击者能够完全控制Windows域。安全研究员Filip Dragovic发布了基于PetitPotam漏洞的概念验证脚本，CERT/CC专家Will Dormann确认此攻击可能使威胁者获取域控制器的Ticket Granting Ticket (TGT)。为防范此类攻击，建议遵循微软的缓解措施，如禁用域控制器上的NTLM，启用身份验证扩展保护（EPA）和签名功能，关闭AD CS服务器上的HTTP。

Security Affairs 网站报道，安全专家发现了一种新的 Windows NTLM 中继攻击，名为 DFSCoerce，它使攻击者能够控制 Windows 域。

DFSCoerce 攻击利用分布式文件系统 (DFS)：命名空间管理协议 (MS-DFSNM) 来实现对 Windows 域的完全控制。分布式文件系统 (DFS)：命名空间管理协议通过 RPC 接口管理 DFS 配置。

安全研究员 Filip Dragovic 发布了一个新的 NTLM 中继攻击的概念验证脚本，该脚本基于 PetitPotam 漏洞，并利用 MS-DFSNM 协议而非 MS-EFSRPC。

CERT/CC 的知名专家 Will Dormann 确认，该攻击可能使威胁攻击者能够从域控制器获取 Ticket Granting Ticket (TGT)。

为了防范此类攻击，研究人员建议遵循微软关于缓解 PetitPotam NTLM 中继攻击的建议，例如在域控制器上禁用 NTLM，启用身份验证扩展保护 (EPA) 和签名功能，以及关闭 AD CS 服务器上的 HTTP。

参考文章：

https://securityaffairs.co/wordpress/132473/hacking/dfscoerce-attacks-windows-domains.html

精彩推荐

今天关于《DFSCoerceNTLM中继攻击，轻松掌控Windows域》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于DFSCoerce,NTLM中继攻击,Windows域,MS-DFSNM,PetitPotam的内容请关注golang学习网公众号！