220420_유명조달기업
윈도우 도메인 제어하는 DFSCoerce NTLM 릴레이 공격 발견
상태바
윈도우 도메인 제어하는 DFSCoerce NTLM 릴레이 공격 발견
  • 곽중희 기자
  • 승인 2022.06.22 11:30
  • 댓글 0
이 기사를 공유합니다

DFSCoerce, PetitPotam 익스플로잇과 MS-DFSNM 프로토콜 기반으로 공격

 

윈도우 도메인을 제어할 수 있는 DFSCoerce라는 새로운 종류의 NTLM 릴레이 공격이 발견됐다.

• NTLM: 윈도우 NT 제품군의 모든 구성원이 사용하는 인증 절차

한 보안 연구원에 따르면, DFSCoerce 공격은 윈도우 도메인을 제어하기 위해 DFS(분산 파일 시스템), MS-DFSNM(이름 공간 관리 프로토콜)를 이용한다.

보안 연구원 Filip Dragovic이 게시한 NTLM 릴레이 공격에 대한 PoC(개념 증명) 스크립트에 따르면, 이 공격은 PetitPotam 익스플로잇과 MS-DFSNM 프로토콜을 기반으로 하는 것으로 파악됐다.

또한 보안 연구원 Will Dormann은 해커가 도메인 컨트롤러에서 TGT(Ticket Granting Ticket)를 얻을 수 있다고 밝혔다.

• PetitPotam 익스플로잇: 원격으로 윈도우에서 시스템을 강제로 인증하고 비밀번호 해시를 공유하도록 허용하는 Windows OS의 취약점을 노려, 윈도우 도메인 컨트롤러를 탈취하는 공격

• TGT: 일부 컴퓨터 보안 시스템에 있는 유효 기간이 제한된 암호화된 작은 식별 파일

마이크로소프트는 이번 공격을 막기 위해 도메인 컨트롤러에서 NTLM을 비활성화하고 인증을 위한 확장된 보호(EPA) 및 서명 기능을 활성화해야 한다고 권고했다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.