윈도우 도메인 제어하는 DFSCoerce NTLM 릴레이 공격 발견
DFSCoerce, PetitPotam 익스플로잇과 MS-DFSNM 프로토콜 기반으로 공격
윈도우 도메인을 제어할 수 있는 DFSCoerce라는 새로운 종류의 NTLM 릴레이 공격이 발견됐다.
• NTLM: 윈도우 NT 제품군의 모든 구성원이 사용하는 인증 절차
한 보안 연구원에 따르면, DFSCoerce 공격은 윈도우 도메인을 제어하기 위해 DFS(분산 파일 시스템), MS-DFSNM(이름 공간 관리 프로토콜)를 이용한다.
보안 연구원 Filip Dragovic이 게시한 NTLM 릴레이 공격에 대한 PoC(개념 증명) 스크립트에 따르면, 이 공격은 PetitPotam 익스플로잇과 MS-DFSNM 프로토콜을 기반으로 하는 것으로 파악됐다.
또한 보안 연구원 Will Dormann은 해커가 도메인 컨트롤러에서 TGT(Ticket Granting Ticket)를 얻을 수 있다고 밝혔다.
• PetitPotam 익스플로잇: 원격으로 윈도우에서 시스템을 강제로 인증하고 비밀번호 해시를 공유하도록 허용하는 Windows OS의 취약점을 노려, 윈도우 도메인 컨트롤러를 탈취하는 공격
• TGT: 일부 컴퓨터 보안 시스템에 있는 유효 기간이 제한된 암호화된 작은 식별 파일
마이크로소프트는 이번 공격을 막기 위해 도메인 컨트롤러에서 NTLM을 비활성화하고 인증을 위한 확장된 보호(EPA) 및 서명 기능을 활성화해야 한다고 권고했다.
*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.