Использование распределенной файловой системы MS-DFSNM позволяет получить контроль над доменом Windows. Новый способ атаки получил необычное имя «DFSCoerce», о чем сообщают эксперты портала BleepingComputer.

Как показывает практика, службы компании Microsoft, которые обеспечивают аутентификацию пользователей на сайтах и доменах, активно используются по всему миру. Однако, не многие специалисты знают, что использование такого механизма ставит под угрозу персональные данные ваших клиентов, поскольку NTLM-ретранслятор уязвим для хакерских атак.

По сути, установление контроля над доменом Windows обеспечивает перенаправление запросов пользователей на аутентификацию другим службам. Таким образом, хакеры могут самостоятельно повысить приоритет, а также предоставить доступ неавторизованным пользователям. Получив контроль над доменом, они могут выполнить абсолютно любую команду.

По словам Филипа Драговича, который является экспертом в области информационной безопасности, совершить подобную атаку можно при помощи отдельного скрипта, опубликованного в общем доступе. В качестве площадки для его создания был использован популярный эксплоит PetitPotam.

По мнению экспертов, чтобы защититься от использования таких скриптов, следует действовать по инструкции, предоставленной компанией Microsoft. Достаточно отключить механизм NTLM и разрешить расширенную защиту при аутентификации.