Ataque de NTLM Relay
¿Qué es Ataque de NTLM Relay?
Ataque de NTLM RelayAtaque adversario en medio (MITRE T1557.001) en el que el atacante reenvia la autenticacion NTLM de una victima a otro servicio para suplantarla sin conocer la contrasena.
Un ataque de NTLM relay abusa del diseno challenge-response de la autenticacion NTLM (MS-NLMP). El atacante enga a un host victima para que se autentique contra infraestructura controlada por el (mediante WebDAV, rutas UNC de compartidos, o coercion) y luego reenvia los mensajes NTLM de la victima a un servicio objetivo como LDAP, SMB, la inscripcion web de ADCS o MSSQL. El destino completa el desafio y concede acceso con la identidad de la victima. Como no se recupera ninguna contrasena ni hash en claro, solo los protocolos firmados criptograficamente y enlazados al canal lo detienen.
La debilidad definitoria es que la autenticacion NTLM no esta ligada al transporte que la lleva, de modo que un challenge-response valido para una conexion es valido para cualquier otra. Microsoft ha pasado mas de una decada parcheando rutas de relay individuales en vez del diseno. CVE-2019-1040 ("Drop the MIC") permitio a los atacantes eliminar el campo Message Integrity Check del mensaje NTLM_AUTHENTICATE, reactivando el relay entre protocolos de SMB a LDAP/LDAPS via ntlmrelayx --remove-mic. Los vectores de coercion siguen apareciendo: el PrinterBug (MS-RPRN), PetitPotam (MS-EFSRPC, CVE-2021-36942, parcheado el 10 de agosto de 2021) y DFSCoerce obligan a un host elegido (a menudo un controlador de dominio) a autenticarse bajo demanda. Reenviar una cuenta de maquina de un DC coaccionado a la inscripcion web de ADCS (la tecnica ESC8) produce un certificado que autentica como el DC, habilitando DCSync y la toma total del dominio.
flowchart LR A[Atacante] -->|1. Coaccionar / envenenar<br/>PetitPotam, PrinterBug, LLMNR| V[Host victima] V -->|2. NTLM_NEGOTIATE| A A -->|3. Reenviar al objetivo| T[(Objetivo: LDAP / SMB / ADCS)] T -->|4. Desafio| A A -->|5. Reenviar desafio| V V -->|6. NTLM_AUTHENTICATE| A A -->|7. Reenviar respuesta| T T -->|8. Acceso concedido como la victima| A
Mitigaciones: forzar firma SMB, habilitar firma LDAP y channel binding / Extended Protection for Authentication (EPA), deshabilitar NTLM cuando sea factible y parchear los vectores de coercion (incluido el fallo de reflexion del cliente SMB de 2025, CVE-2025-33073). El ntlmrelayx de Impacket es la herramienta canonica.
● Ejemplos
- 01
Coaccionar a un controlador de dominio con PetitPotam y reenviar su NTLM a ADCS para obtener un certificado de DC.
- 02
Reenviar el NTLMv2 de una estacion a MSSQL con xp_cmdshell habilitado para lograr RCE.
● Preguntas frecuentes
¿Qué es Ataque de NTLM Relay?
Ataque adversario en medio (MITRE T1557.001) en el que el atacante reenvia la autenticacion NTLM de una victima a otro servicio para suplantarla sin conocer la contrasena. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Ataque de NTLM Relay?
Ataque adversario en medio (MITRE T1557.001) en el que el atacante reenvia la autenticacion NTLM de una victima a otro servicio para suplantarla sin conocer la contrasena.
¿Cómo defenderse de Ataque de NTLM Relay?
Las defensas contra Ataque de NTLM Relay combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Ataque de NTLM Relay?
Nombres alternativos comunes: NTLM relaying, T1557.001.