The Hacker Newsは6月21日(米国時間)、「New NTLM Relay Attack Lets Attackers Take Control Over Windows Domain」において、MS-DFSNM (Microsoft Distributed File System Namespace Management)を悪用した新たなWindows NTLMリレー攻撃が発見されたと伝えた。「DFSCoerce」と呼ばれるそのNTLMリレー攻撃を受けると、Windowsホストのドメインコントローラの管理者権限が奪われてしまう危険性があるという。
NTLM (NT Lan Manager)リレー攻撃は、チャレンジ・レスポンス機構を悪用した古典的なサイバー攻撃手法。クライアントとサーバの間に入り込み有効な認証要求を不正に行い、Active Directory環境にアクセスするための足がかりとしてサイバー犯罪者に使われている。「PetitPotam」と呼ばれるNTLMリレー攻撃手法があることはすでに明らかとなっている。
今回見つかったDFSCoerceは、PetitPotamと同種の手法となっている。PetitPotamがMS-EFSRPC (Microsoft Encrypting File System Remote)プロトコルを悪用するのに対して、DFSCoerceはMS-DFSNMプロトコルを悪用する。MS-DFSNMは分散ファイルシステム構成を管理するためのリモートプロシージャコール(RPC: Remote Procedure Call)インタフェースを提供するプロトコル。
MicrosoftはNTLMリレー攻撃を軽減するために、認証の拡張保護(EPA:Extended Protection for Authentication)などの保護機能やSMB署名などの署名機能の利用、Active Directory証明書サービス(AD CS: Active Directory Certificate Services)サーバのHTTPをオフするなどの対応を推奨している。