Dağıtılmış Dosya Sistemi (DFS) bir etki alanının kontrolünü ele geçirmek için kullanılıyor. Ad Alanı Yönetim Protokolü’nden yararlanan, DFSCoerce adlı yeni bir Windows NTLM geçiş saldırı türü de bu şekilde ortaya çıkarıldı.
NTLM geçiş saldırısı, sorgulama-yanıt mekanizmasından yararlanan bir yöntem olarak biliniyor. Kötü niyetli siber saldırganlar tarafından istemciler ve sunucular arasında kalmasını sağladığı bilinen bu saldırı, ağ kaynaklarına yetkisiz erişim elde etmek için doğrulanmış kimlik doğrulama isteklerini engelliyor ve iletmesine izin vererek Active Directory ortamlarında etkin bir başlangıç noktası elde edebiliyor.
DFSCoerce’in keşfi, etki alanı denetleyicileri de dahil olmak üzere Windows sunucularını bir saldırganın kontrolü altındaki bir geçişle kimlik doğrulaması yapmaya zorlamak için Microsoft’un Şifreleme Dosya Sistemi Uzak Protokolü’nü kötüye kullanan PetitPotam adlı benzer bir yöntemi izlediği vurgulandı. Tehdit aktörlerinin potansiyel olarak bir bütünü ele geçirmesine bu şekilde izin verdiğinin de altı çizildi.
Microsoft, NTLM geçiş saldırılarını azaltmak için Kimlik Doğrulama için Genişletilmiş Koruma (EPA), SMB imzalama ve AD CS sunucularında HTTP’yi kapatma gibi korumaların etkinleştirilmesini önerdi.
