Yeni yapılan bir çalışma, Windows etki alanını tamamen ele geçirmek için yeni bir DFSCoerce Windows NTLM geçiş saldırısını ortaya çıkardı. Saldırganların hedefinde bu sefer, Microsoft Active Directory Sertifika Hizmeti bulunuyor. Saldırganlar kimlik doğrulama isteğini HTTP aracılığıyla etki alanınındaki Active Directory Sertifika Hizmetlerine iletiyor ve bir Kerberos bilet (TGT) alınmasını sağlıyor. Bu bilet, saldırganların domain controller’lar da dahil olmak üzere ağdaki herhangi bir cihazın kimlik bilgilerini almasına izin veriyor.
PoC Yayınlandı
Güvenlik araştırmacısı Filip Dragovic , DFSCoerce adlı NTLM geçiş saldırısı için bir kavram kanıtı komut dosyası yayınladı.
Şu an bu zafiyet için yapılacak en iyi şey Microsoft’un PetitPotam NTLM geçiş saldırısını hafifletme konusundaki tavsiyesine uymak gibi görünüyor. Bunun nedeni PetitPotam ile benzer özellikler taşıması.
Kaynak: bleepingcomputer.com