Ataque de NTLM Relay
¿Qué es Ataque de NTLM Relay?
Ataque de NTLM RelayAtaque adversario en medio (MITRE T1557.001) en el que el atacante reenvia la autenticacion NTLM de una victima a otro servicio para suplantarla sin conocer la contrasena.
El NTLM relay abusa del diseno challenge-response de NTLM. El atacante induce a un host victima a autenticarse contra infraestructura controlada por el (mediante WebDAV, rutas UNC, o coercion tipo PetitPotam) y reenvia los mensajes NTLM a un servicio objetivo como LDAP, SMB, la inscripcion web de ADCS o MSSQL. El destino acepta la respuesta al desafio legitima y concede acceso al atacante con la identidad de la victima. Como no se recupera contrasena ni hash en claro, solo los protocolos firmados y enlazados al canal lo detienen. Las mitigaciones incluyen forzar firma SMB, firma LDAP y channel binding (EPA), deshabilitar NTLM cuando se pueda y parchear los vectores de coercion. Impacket ntlmrelayx es la herramienta de referencia.
● Ejemplos
- 01
Coaccionar a un controlador de dominio con PetitPotam y reenviar su NTLM a ADCS para obtener un certificado de DC.
- 02
Reenviar el NTLMv2 de una estacion a MSSQL con xp_cmdshell habilitado para lograr RCE.
● Preguntas frecuentes
¿Qué es Ataque de NTLM Relay?
Ataque adversario en medio (MITRE T1557.001) en el que el atacante reenvia la autenticacion NTLM de una victima a otro servicio para suplantarla sin conocer la contrasena. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Ataque de NTLM Relay?
Ataque adversario en medio (MITRE T1557.001) en el que el atacante reenvia la autenticacion NTLM de una victima a otro servicio para suplantarla sin conocer la contrasena.
¿Cómo funciona Ataque de NTLM Relay?
El NTLM relay abusa del diseno challenge-response de NTLM. El atacante induce a un host victima a autenticarse contra infraestructura controlada por el (mediante WebDAV, rutas UNC, o coercion tipo PetitPotam) y reenvia los mensajes NTLM a un servicio objetivo como LDAP, SMB, la inscripcion web de ADCS o MSSQL. El destino acepta la respuesta al desafio legitima y concede acceso al atacante con la identidad de la victima. Como no se recupera contrasena ni hash en claro, solo los protocolos firmados y enlazados al canal lo detienen. Las mitigaciones incluyen forzar firma SMB, firma LDAP y channel binding (EPA), deshabilitar NTLM cuando se pueda y parchear los vectores de coercion. Impacket ntlmrelayx es la herramienta de referencia.
¿Cómo defenderse de Ataque de NTLM Relay?
Las defensas contra Ataque de NTLM Relay combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Ataque de NTLM Relay?
Nombres alternativos comunes: NTLM relaying, T1557.001.
● Términos relacionados
- attacks№ 1057
Ataque de SMB Relay
Variante especifica de NTLM relay en la que el atacante reenvia la autenticacion SMB de una victima a otro servidor SMB para ejecutar codigo o acceder a archivos con su identidad.
- attacks№ 620
Envenenamiento LLMNR
Tecnica adversario en medio (MITRE T1557.001) que abusa del protocolo Link-Local Multicast Name Resolution en UDP/5355 para redirigir a las victimas a hosts controlados por el atacante.
- attacks№ 715
Envenenamiento NBT-NS
Ataque adversario en medio que abusa del trafico heredado de NetBIOS Name Service en UDP/137 para falsificar respuestas de nombres y capturar autenticaciones NTLM.
- attacks№ 924
Ataque con Responder
Ataque que usa la herramienta Responder de Laurent Gaffie para envenenar LLMNR, NBT-NS y mDNS, levantar servidores falsos y capturar o reenviar credenciales NTLM en la red local.
- attacks№ 790
Pass-the-Hash
Ataque de reutilizacion de credenciales que autentica en sistemas Windows usando un hash NTLM robado en lugar de la contrasena en claro.