NTLM Relay Attack รูปแบบใหม่ ทำให้แฮ็กเกอร์เข้ายึด Windows domain ได้

มีการค้นพบการโจมตีแบบ NTLM Relay Attack ที่เรียกว่า DFSCoerce โดยการใช้ MS-DFSNM (Microsoft's Distributed File System) เพื่อเข้ายึด Windows domain ได้

หลายๆองค์กรจะมีการใช้ Microsoft Active Directory Certificate Services, public key infrastructure (PKI) service ในการตรวจสอบสิทธิ์ผู้ใช้, บริการ และอุปกรณ์บน Windows domain

โดยบริการเหล่านี้มีความเสี่ยงจากการถูกโจมตีแบบ NTLM relay attacks ซึ่งจะเกิดขึ้นจากการที่ผู้โจมตีพยายามทำให้ domain controller รับการตรวจสอบสิทธิ์จาก NTLM relay ที่เป็นอันตรายที่อยู่ภายใต้การควบคุมโดยผู้โจมตี

ซึ่งเซิร์ฟเวอร์ที่เป็นอันตรายเหล่านี้จะส่งคำขอ authentication ไปยัง Active Directory Certificate Services ของโดเมนผ่านทาง HTTP จากนั้นก็จะได้รับ Kerberos Ticket-granting (TGT) กลับมา ซึ่ง Ticket นี้จะทำให้ผู้โจมตีสามารถถูกระบุเป็นอุปกรณ์ใดๆก็ได้ในเครือข่าย รวมไปถึง domain controller ด้วย ซึ่งเมื่อสามารถปลอมแปลงเป็น domain controller ได้แล้ว ผู้โจมตีก็จะสามารถยกระดับสิทธิ์เพื่อเข้าควบคุมโดเมน และเรียกใช้คำสั่งใดๆ ก็ได้

ในการบังคับให้เซิร์ฟเวอร์ตรวจสอบสิทธิ์กับ NTLM relay ที่เป็นอันตราย ผู้โจมตีสามารถใช้วิธีการต่างๆ เช่น MS-RPRN, MS-EFSRPC (PetitPotam) และโปรโตคอล MS-FSRVP

แม้ว่า Microsoft ได้ออกแพตซ์แก้ไขช่องโหว่ในการตรวจสอบสิทธิ์โดยใช้โปรโตคอลเหล่านี้ไปแล้ว แต่ก็ยังพบการหลบหลีกการป้องกันเพื่อใช้โปรโตคอลเหล่านี้ในการโจมตีได้อยู่

NTLM Relay Attack รูปแบบใหม่ โดยใช้ MS-DFSNM

สัปดาห์นี้ Filip Dragovic นักวิจัยด้านความปลอดภัยได้เผยแพร่สคริปต์เพื่อพิสูจน์แนวคิดสำหรับการโจมตี NTLM Relay Attack รูปแบบใหม่ที่เรียกว่า 'DFSCoerce' ซึ่งใช้โปรโตคอล Distributed File System (MS-DFSNM) ของ Microsoft

DFSCoerce script มีพื้นฐานมาจากการโจมตีแบบ PetitPotam แต่แทนที่จะใช้ MS-EFSRPC สคริปต์นี้ใช้ MS-DFSNM ซึ่งเป็นโปรโตคอลที่ใช้บริหารจัดการ Windows Distributed File System (DFS) ผ่าน RPC interface

นักวิจัยให้ข้อมูลกับ BleepingComputer ว่า วิธีที่ดีที่สุดในการป้องกันการโจมตีในรูปแบบนี้คือการทำตามคำแนะนำในการลดความเสี่ยงของ Microsoft จากการโจมตีในรูปแบบ PetitPotam NTLM Relay Attack โดยการปิด NTLM บน domain controller, ปิด web services บน Active Directory Certificate Services servers และเปิด Extended Protection for Authentication และฟีเจอร์ signing เช่น SMB signing เพื่อป้องกัน Windows credentials เป็นต้น

วิธีการลดความเสี่ยงจากการโจมตีอื่นๆ ก็เช่นการใช้ RPC Filters หรือ RPC Firewall เพื่อป้องกันไม่ให้เซิร์ฟเวอร์ถูกบังคับผ่านโปรโตคอล MS-DFSNM อย่างไรก็ตาม ยังไม่มีข้อมูลว่าการบล็อกการเชื่อมต่อ DFS RPC จะทำให้เกิดปัญหาอื่นๆในเครือข่ายตามมาหรือไม่

ที่มา : bleepingcomputer

 

Read more