新的NTLM中继攻击允许攻击者控制Windows域

发现了一种新的Windows NTLM中继攻击，称为DfsPressure，它利用分布式文件系统（DFS）：命名空间管理协议（MS-DFSNM）来获取对域的控制。

安全研究员菲利普·德拉戈维奇（FilipDragovic）在推特上说：“后台打印程序服务已禁用，安装了RPC过滤器以防止PetitPotam和文件服务器VSS代理服务未安装，但您仍想将[域控制器身份验证]中继到[Active Directory证书服务]？别担心MS-DFSNM会支持您。”。

MS-DFSNM提供了一个远程过程调用（RPC）接口，用于管理分布式文件系统配置。

NTLM（NT Lan Manager）中继攻击是一种利用质询响应机制的著名方法。它允许恶意网络安全方坐在客户端和服务器之间，拦截和中继经过验证的身份验证请求，以便获得对网络资源的未经授权的访问，从而有效地在Active Directory环境中获得初始立足点。

DfsPreside的发现遵循了一种类似的称为PetitPotam的方法，该方法滥用Microsoft的加密文件系统远程协议（MS-EFSRPC），迫使Windows服务器（包括域控制器）在攻击者的控制下通过中继进行身份验证，从而使威胁参与者有可能接管整个域。

证书协调中心（CERT/CC）指出：“通过将域控制器的NTLM身份验证请求中继到AD CS系统上的证书颁发机构Web注册或证书注册Web服务，攻击者可以获得可用于从域控制器获取票证授予票证（TGT）的证书”，并详细描述了攻击链。

为了减轻NTLM中继攻击，Microsoft建议启用诸如扩展身份验证保护（EPA）、SMB签名和关闭AD CS服务器上的HTTP等保护。