新たなWindows NTLMリレー攻撃「DFSCoerce」発見

新たなWindows NTLMリレー攻撃「DFSCoerce」発見

  • マイナビニュース
  • 更新日:2022/06/23
No image

The Hacker Newsは6月21日(米国時間)、「New NTLM Relay Attack Lets Attackers Take Control Over Windows Domain」において、MS-DFSNM (Microsoft Distributed File System Namespace Management)を悪用した新たなWindows NTLMリレー攻撃が発見されたと伝えた。「DFSCoerce」と呼ばれるそのNTLMリレー攻撃を受けると、Windowsホストのドメインコントローラの管理者権限が奪われてしまう危険性があるという。

iPhone、電源オフにしてもマルウェア実行できる恐れ - 研究者ら指摘

NTLM (NT Lan Manager)リレー攻撃は、チャレンジ・レスポンス機構を悪用した古典的なサイバー攻撃手法。クライアントとサーバの間に入り込み有効な認証要求を不正に行い、Active Directory環境にアクセスするための足がかりとしてサイバー犯罪者に使われている。「PetitPotam」と呼ばれるNTLMリレー攻撃手法があることはすでに明らかとなっている。

今回見つかったDFSCoerceは、PetitPotamと同種の手法となっている。PetitPotamがMS-EFSRPC (Microsoft Encrypting File System Remote)プロトコルを悪用するのに対して、DFSCoerceはMS-DFSNMプロトコルを悪用する。MS-DFSNMは分散ファイルシステム構成を管理するためのリモートプロシージャコール(RPC: Remote Procedure Call)インタフェースを提供するプロトコル。

MicrosoftはNTLMリレー攻撃を軽減するために、認証の拡張保護(EPA:Extended Protection for Authentication)などの保護機能やSMB署名などの署名機能の利用、Active Directory証明書サービス(AD CS: Active Directory Certificate Services)サーバのHTTPをオフするなどの対応を推奨している。

後藤大地

この記事をお届けした
グノシーの最新ニュース情報を、

でも最新ニュース情報をお届けしています。

外部リンク

  • このエントリーをはてなブックマークに追加