时间: 2024-05-21 15:49:26 作者: 智能驾驶域产品
在最近的网络安全研讨中发现,一种针对Windows域控服务器的新式NTLM中继进犯办法曝光,该中继进犯办法被命名为DFSCoerce,其中心原理是使用分布式文件体系 (DFS)的命名空间办理协议 (MS-DFSNM) 来操控Windows域服务器。
依据我国网络安全职业门户极牛网的整理,MS-DFSNM是为了便利办理分布式文件体系的装备,而供给的一个长途过程调用RPC接口。
NTLM(NT Lan Manager)中继进犯模型中,歹意方坐落客户端与服务器之间,阻拦和中继经过验证的身份验证恳求,以取得对网络资源的没有经过授权的拜访,然后有效地在AD域控环境中取得开始立足点。
DFSCoerce进犯办法和一个名为PetitPotam的进犯办法非常相似,该PetitPotam进犯办法是乱用微软的加密文件体系长途协议 (MS-EFSRPC) 来强制Windows域控服务器经过进犯者操控下的中继进行身份验证,以此让进犯者接收整个域控。
依据安全研讨人员对该进犯方法的进犯链做多元化的剖析,经过将来自域操控器的 NTLM 身份验证恳求中继到证书颁布组织的证书注册服务,进犯者可以得到一个用于拜访域控的证书。
为了缓解该 NTLM 中继进犯,微软主张启用身份验证扩展维护 (EPA)、SMB 签名和封闭域控服务器上的HTTP通讯等缓解办法。