聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该攻击方法可使未修复服务器认证受攻击者控制的服务器,从而导致Windows 域名遭接管。
微软的一名发言人指出,虽然目前尚未公开宣布该漏洞,但“MS-FSRVP胁迫滥用 PoC 即 ‘ShadowCoerce’ 已通过CVE-2022-30154缓解,后者也影响相同的组件。”
ACROS Security 公司的首席执行官 Mitja Kolsek 在与 0Patch团队研究微补丁之时,发现ShadowCoerce 已被默默修复。不过目前微软尚未公开任何详情,也并未分配CVE编号。为此,安全企业和研究人员要求微软更加透明并在安全公告中提供更多关于漏洞修复的信息。
ShadowCoerce 是由安全研究员Lionel Gilles 在2021年末首先发现的,他在一次关于 PetitPotam 攻击的演讲中对该漏洞进行了详细说明。
幸运的是,这种攻击方法尽可强迫通过 MS-FSRVP(文件服务器远程VSS协议)在启用了文件服务器VSS代理服务的系统上进行认证。MS-FSRVP 是一种基于 RPC 的协议,旨在远程计算机上创建文件共享卷影副本。
遗憾的是,正如 Gilles 所演示的那样,该协议也易受 NTLM 中继攻击就,可导致攻击者强制域控制器认证受控的恶意NTLM中继。该恶意服务器之后将认证请求中继到域名的活动目录证书服务 (AD CS),获得 Kerberos TGT,使攻击者模拟任何网络设备,包括Windows域控制器在内。模拟域控制器后,攻击者将获得提权,接管Windows 域名。
然而,这种攻击类型要求网络已被攻陷,使攻击者能够在目标服务器上运行并访问相关联的服务。
为了迫使远程服务器认证恶意NTLM中继,攻击者可利用多种方法如 MS-RPRN和MS-EFSRPC(PetitPotam)协议。
5月份,微软也修复了一个已遭活跃利用的LSA欺骗0day (CVE-2022-26925,之后被证实为 PetitPotam 变体),可通过在所有Windows 版本上的强制认证进行提权。微软仍然必须解决 DFSCoerce Windows NTLM 中继攻击。该攻击利用 MS-DFSNM协议,通过RPC接口管理 Windows DFS。上个月,安全研究员 Filip Dragovic 发布 DFSCoerce PoC 脚本,可用于对任意服务器进行中继认证,从而使具有对Windows域名有限访问权限的用户成为域管理员。
问到 DFSCoerce的更多详情时,微软建议管理员启用多因素认证机制并尽快安装所有可用的安全更新,拦截环境中的 DFSCoerce 攻击。研究员和专家也表示,阻止类似攻击的最好办法是按照微软安全公告中提到的PetitPotam NTLM 中继攻击的缓解措施。这些缓解措施博阿凯禁用活动目录证书服务服务器上的 web 服务、禁用域控制器上的NTLM并启用认证的扩展防护措施以及签名特性(如SMS签名)保护Windows凭据的安全。
https://www.bleepingcomputer.com/news/microsoft/microsoft-quietly-fixes-shadowcoerce-windows-ntlm-relay-bug/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~