Se ha descubierto un nuevo ataque NTLM relay utilizando el protocolo MS-DFSNM, este ataque bautizado como DFSCoerce permitiría tomar el control total de un dominio.
¿Qué es el protocolo MS-DFSNM?
El protocolo MS-DFSNM es un protocolo propietario de Microsoft utilizado para la gestión de sistemas de almacenamiento distribuidos (DFS) , proveyendo de una interfaz RPC para laconfiguración de los mismos.
¿En que consiste DFSCoerce?
DFSCoerce hace uso del protocolo MS-DFSNM para forzar que un controlador de dominio se autentique contra una máquina controlada por el atacante.
En esta autenticación se lleva a cabo un ataque de NTLM relay que permitiría al atacante ganar acceso al dominio.
Este ataque funciona de la misma manera que PetitPotam con el protocolo de cifrado MS-EFSRPC,ShadowCoerce con MS-FSRPP o PrinterBug o SpoolSample con MS-RPRN.
El investigador Filip Dragovic ha lanzado una prueba de concepto con un exploit funcional de laexplotación de esta vulnerabilidad, disponible en su cuenta de Github.
Aún no existe un parche oficial por parte de Microsoft. Aunque, si existen algunas mitigaciones parciales para este problema como añadir filtros al firewall RPC, habilitar las opciones de firmado en SMB o desactivar la autenticación NTLM en los controladores de dominio.
Fuente: https://unaaldia.hispasec.com/2022/06/dfscoerce.html