Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 1177

SMB-Relay-Angriff

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist SMB-Relay-Angriff?

SMB-Relay-AngriffSpezialfall des NTLM-Relays, bei dem ein Angreifer die SMB-Authentifizierung eines Opfers an einen anderen SMB-Server weiterleitet, um in dessen Namen Code auszufuehren oder Dateien zu lesen.


SMB-Relay-Angriffe missbrauchen die Authentifizierung von Windows-Dateifreigaben, wenn SMB-Signing nicht erzwungen ist. Der Angreifer positioniert sich zwischen Opfer-Host und Zielserver, oft durch Vergiften der Namensaufloesung mit Responder oder durch Coercion des Opfers auf einen schadhaften UNC-Pfad, und leitet die NTLM-Authentifizierung des Opfers an einen Ziel-SMB-Server weiter, auf dem Signing nicht verlangt wird. Hat die relayte Identitaet lokale Admin-Rechte auf dem Ziel, installiert der Angreifer einen PsExec-aehnlichen Dienst, plant Tasks oder liest sensible Shares im Namen des Opfers.

Der Angriff geht auf eine Offenlegung des Cult of the Dead Cow aus dem Jahr 2001 zurueck und wurde bekanntlich von Metasploit demonstriert. Urspruenglich konnte ein Angreifer die Credentials eines Opfers direkt zurueck an den urspruenglichen Host relayen ("Credential Reflection"). Microsoft schloss diesen konkreten Pfad mit MS08-068 im November 2008; seither weist der SMB-Dienst eine Challenge zurueck, die er als eine soeben selbst ausgestellte erkennt, sodass man seit 2008 an eine andere Maschine als die Quelle relayen muss. Genau diese Einschraenkung ist der Grund, warum modernes SMB-Relay darauf angewiesen ist, einen zweiten Host (laterales Ziel) zu finden, auf dem Signing deaktiviert ist. Die SMB-Client-Schwachstelle CVE-2025-33073 von 2025 belebte kurzzeitig eine Reflection-artige Privilegieneskalation, bevor sie gepatcht wurde, und unterstreicht, wie hartnaeckig die zugrunde liegende NTLM-Schwaeche ist.

flowchart LR
  P[LLMNR/NBT-NS vergiften<br/>oder UNC-Pfad erzwingen] --> V[Opfer sendet NTLM-Auth]
  V --> A[Angreifer-Relay<br/>smbrelayx / ntlmrelayx]
  A -->|Relay an einen ANDEREN Host<br/>Signing nicht erzwungen| T[(Ziel-SMB-Server)]
  T -->|Opfer ist lokaler Admin| X[Service-Installation / PsExec<br/>Befehlsausfuehrung]
  T -->|sonst| R[Sensible Shares lesen]
  S[SMB-Signing auf beiden Seiten verlangen] -.blockiert.-> A

Die zentrale Gegenmassnahme ist erzwungenes SMB-Signing auf Clients und Servern; LDAPS, reine Kerberos-Umgebungen und das Deaktivieren von NTLM reduzieren die Angriffsflaeche weiter. Impacket smbrelayx und ntlmrelayx mit -t smb:// sind die Standard-Werkzeuge.

Beispiele

  1. 01

    Kompromittierung einer Finanz-Workstation durch Relay ihres NTLM zu einem Peer, auf dem dasselbe Admin-Passwort wiederverwendet wird.

  2. 02

    Auslesen von Gehaltsdaten von einem nicht-signierenden Dateiserver nach Relay eines NTLMv2-Hashes.

Häufige Fragen

Was ist SMB-Relay-Angriff?

Spezialfall des NTLM-Relays, bei dem ein Angreifer die SMB-Authentifizierung eines Opfers an einen anderen SMB-Server weiterleitet, um in dessen Namen Code auszufuehren oder Dateien zu lesen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.

Was bedeutet SMB-Relay-Angriff?

Spezialfall des NTLM-Relays, bei dem ein Angreifer die SMB-Authentifizierung eines Opfers an einen anderen SMB-Server weiterleitet, um in dessen Namen Code auszufuehren oder Dateien zu lesen.

Wie schützt man sich gegen SMB-Relay-Angriff?

Schutzmaßnahmen gegen SMB-Relay-Angriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Welche anderen Bezeichnungen gibt es für SMB-Relay-Angriff?

Übliche alternative Bezeichnungen: SMB-Relaying, Cross-Protocol-SMB-Relay.

Verwandte Begriffe