NTLM-Relay-Angriff
Was ist NTLM-Relay-Angriff?
NTLM-Relay-AngriffAdversary-in-the-Middle-Angriff (MITRE T1557.001), bei dem ein Angreifer die NTLM-Authentifizierung eines Opfers an einen anderen Dienst weiterleitet, um es ohne Passwortkenntnis zu impersonieren.
Ein NTLM-Relay nutzt das Challenge-Response-Design von NTLM aus. Der Angreifer bringt ein Opferhost dazu, sich gegen seine Infrastruktur zu authentifizieren (etwa via WebDAV, UNC-Pfaden oder PetitPotam-artiger Coercion) und leitet die NTLM-Nachrichten an ein Zieldienst wie LDAP, SMB, das ADCS-Web-Enrollment oder MSSQL weiter. Das Ziel akzeptiert die legitime Challenge-Antwort und gewaehrt dem Angreifer Zugriff unter der Identitaet des Opfers. Da weder Passwort noch Hash im Klartext erbeutet werden, helfen nur signierte und kanalgebundene Protokolle. Gegenmassnahmen sind erzwungenes SMB-Signing, LDAP-Signing und Channel Binding (EPA), Deaktivierung von NTLM wo moeglich und das Schliessen von Coercion-Vektoren. ntlmrelayx aus Impacket ist das Referenzwerkzeug.
● Beispiele
- 01
Coercion eines Domain Controllers per PetitPotam und Relay seiner NTLM-Auth zu ADCS, um ein DC-Zertifikat zu erhalten.
- 02
Relay des NTLMv2 einer Workstation auf MSSQL mit aktiviertem xp_cmdshell zur RCE.
● Häufige Fragen
Was ist NTLM-Relay-Angriff?
Adversary-in-the-Middle-Angriff (MITRE T1557.001), bei dem ein Angreifer die NTLM-Authentifizierung eines Opfers an einen anderen Dienst weiterleitet, um es ohne Passwortkenntnis zu impersonieren. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet NTLM-Relay-Angriff?
Adversary-in-the-Middle-Angriff (MITRE T1557.001), bei dem ein Angreifer die NTLM-Authentifizierung eines Opfers an einen anderen Dienst weiterleitet, um es ohne Passwortkenntnis zu impersonieren.
Wie funktioniert NTLM-Relay-Angriff?
Ein NTLM-Relay nutzt das Challenge-Response-Design von NTLM aus. Der Angreifer bringt ein Opferhost dazu, sich gegen seine Infrastruktur zu authentifizieren (etwa via WebDAV, UNC-Pfaden oder PetitPotam-artiger Coercion) und leitet die NTLM-Nachrichten an ein Zieldienst wie LDAP, SMB, das ADCS-Web-Enrollment oder MSSQL weiter. Das Ziel akzeptiert die legitime Challenge-Antwort und gewaehrt dem Angreifer Zugriff unter der Identitaet des Opfers. Da weder Passwort noch Hash im Klartext erbeutet werden, helfen nur signierte und kanalgebundene Protokolle. Gegenmassnahmen sind erzwungenes SMB-Signing, LDAP-Signing und Channel Binding (EPA), Deaktivierung von NTLM wo moeglich und das Schliessen von Coercion-Vektoren. ntlmrelayx aus Impacket ist das Referenzwerkzeug.
Wie schützt man sich gegen NTLM-Relay-Angriff?
Schutzmaßnahmen gegen NTLM-Relay-Angriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für NTLM-Relay-Angriff?
Übliche alternative Bezeichnungen: NTLM-Relaying, T1557.001.
● Verwandte Begriffe
- attacks№ 1057
SMB-Relay-Angriff
Spezialfall des NTLM-Relays, bei dem ein Angreifer die SMB-Authentifizierung eines Opfers an einen anderen SMB-Server weiterleitet, um in dessen Namen Code auszufuehren oder Dateien zu lesen.
- attacks№ 620
LLMNR-Poisoning
Adversary-in-the-Middle-Technik (MITRE T1557.001), die das Link-Local Multicast Name Resolution-Protokoll auf UDP/5355 missbraucht, um Opfer auf vom Angreifer kontrollierte Hosts umzuleiten.
- attacks№ 715
NBT-NS-Poisoning
Adversary-in-the-Middle-Angriff, der den legacy NetBIOS-Name-Service-Verkehr auf UDP/137 missbraucht, um Namensantworten zu faelschen und NTLM-Authentifizierungen abzufangen.
- attacks№ 924
Responder-Angriff
Angriff mit Laurent Gaffies Tool Responder, das LLMNR, NBT-NS und mDNS vergiftet, falsche Authentifizierungsdienste betreibt und im lokalen Netz NTLM-Credentials abgreift oder weiterleitet.
- attacks№ 790
Pass-the-Hash
Credential-Reuse-Angriff, der sich an Windows-Systemen mit einem gestohlenen NTLM-Hash anstelle des Klartextpassworts anmeldet.