Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 840

NTLM-Relay-Angriff

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist NTLM-Relay-Angriff?

NTLM-Relay-AngriffAdversary-in-the-Middle-Angriff (MITRE T1557.001), bei dem ein Angreifer die NTLM-Authentifizierung eines Opfers an einen anderen Dienst weiterleitet, um es ohne Passwortkenntnis zu impersonieren.


Ein NTLM-Relay-Angriff missbraucht das Challenge-Response-Design der NTLM-Authentifizierung (MS-NLMP). Der Angreifer bringt einen Opferhost dazu, sich gegen von ihm kontrollierte Infrastruktur zu authentifizieren, etwa via WebDAV, Datei-Share-UNC-Pfade oder Coercion, und leitet die NTLM-Nachrichten des Opfers an einen Zieldienst wie LDAP, SMB, ADCS-Web-Enrollment oder MSSQL weiter. Das Ziel schliesst die Challenge ab und gewaehrt Zugriff unter der Identitaet des Opfers. Da weder Klartextpasswort noch Hash erbeutet werden, stoppen es nur kryptografisch signierte und kanalgebundene Protokolle.

Die zentrale Schwaeche ist, dass die NTLM-Authentifizierung nicht an den Transport gebunden ist, der sie traegt, sodass eine fuer eine Verbindung gueltige Challenge-Response fuer jede andere ebenfalls gueltig ist. Microsoft hat ueber ein Jahrzehnt einzelne Relay-Pfade gepatcht statt das Design. CVE-2019-1040 ("Drop the MIC") erlaubte Angreifern, das Message-Integrity-Check-Feld aus der NTLM_AUTHENTICATE-Nachricht zu entfernen und so das protokolluebergreifende Relay von SMB zu LDAP/LDAPS via ntlmrelayx --remove-mic wieder zu ermoeglichen. Coercion-Vektoren tauchen immer wieder auf: der PrinterBug (MS-RPRN), PetitPotam (MS-EFSRPC, CVE-2021-36942, gepatcht am 10. Aug. 2021) und DFSCoerce zwingen einen gewaehlten Host, oft einen Domain Controller, sich auf Abruf zu authentifizieren. Das Relay eines erzwungenen DC-Maschinenkontos zum ADCS-Web-Enrollment (die ESC8-Technik) liefert ein Zertifikat, das sich als DC authentifiziert, und ermoeglicht DCSync und die vollstaendige Domain-Uebernahme.

flowchart LR
  A[Angreifer] -->|1. Coercion / Poisoning<br/>PetitPotam, PrinterBug, LLMNR| V[Opferhost]
  V -->|2. NTLM_NEGOTIATE| A
  A -->|3. Relay an Ziel| T[(Ziel: LDAP / SMB / ADCS)]
  T -->|4. Challenge| A
  A -->|5. Challenge weiterleiten| V
  V -->|6. NTLM_AUTHENTICATE| A
  A -->|7. Antwort relayen| T
  T -->|8. Zugriff als Opfer gewaehrt| A

Gegenmassnahmen: erzwungenes SMB-Signing, aktiviertes LDAP-Signing und Channel Binding / Extended Protection for Authentication (EPA), Deaktivierung von NTLM wo moeglich und das Patchen von Coercion-Vektoren (einschliesslich des SMB-Client-Reflection-Bugs CVE-2025-33073 von 2025). ntlmrelayx aus Impacket ist das Referenzwerkzeug.

Beispiele

  1. 01

    Coercion eines Domain Controllers per PetitPotam und Relay seiner NTLM-Auth zu ADCS, um ein DC-Zertifikat zu erhalten.

  2. 02

    Relay des NTLMv2 einer Workstation auf MSSQL mit aktiviertem xp_cmdshell zur RCE.

Häufige Fragen

Was ist NTLM-Relay-Angriff?

Adversary-in-the-Middle-Angriff (MITRE T1557.001), bei dem ein Angreifer die NTLM-Authentifizierung eines Opfers an einen anderen Dienst weiterleitet, um es ohne Passwortkenntnis zu impersonieren. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.

Was bedeutet NTLM-Relay-Angriff?

Adversary-in-the-Middle-Angriff (MITRE T1557.001), bei dem ein Angreifer die NTLM-Authentifizierung eines Opfers an einen anderen Dienst weiterleitet, um es ohne Passwortkenntnis zu impersonieren.

Wie schützt man sich gegen NTLM-Relay-Angriff?

Schutzmaßnahmen gegen NTLM-Relay-Angriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Welche anderen Bezeichnungen gibt es für NTLM-Relay-Angriff?

Übliche alternative Bezeichnungen: NTLM-Relaying, T1557.001.

Verwandte Begriffe

Siehe auch