Machines dwingen om zich te authenticeren bij jou. Ze vragen het niet. Ze willen het niet. Maar ze doen het. Omdat een protocol uit 1997 zei dat het moest. En niemand heeft dat protocol sindsdien bijgewerkt. Nou ja, bijna niemand.
Bestand
Wat het doet
coerce_dfscoerce
DFSCoerce: NTLM-authenticatie forceren via het Distributed File System protocol. De machine stuurt zijn credentials naar jou omdat je het vriendelijk vraagt via een DFS-referral. Vriendelijk. Via een protocol. Zonder toestemming. “Vriendelijk” heeft een andere betekenis in dit vakgebied.
coerce_wspcoerce
WSPCoerce: NTLM-authenticatie afdwingen via het Windows Search Protocol. De zoekfunctie van Windows, misbruikt om authenticatie te triggeren. Zoeken en vinden — maar dan vindt de aanvaller jouw hash.
coerce_krbrelayup
KrbRelayUp: lokale privilege escalatie via Kerberos relay en Resource-Based Constrained Delegation. Van gewone gebruiker naar SYSTEM zonder het netwerk te verlaten. Het is een lift naar boven. Zonder knoppen. Zonder stops. Direct naar de top.
Op de hoogte blijven?
Ontvang maandelijks cybersecurity-inzichten in je inbox.