Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 840

Attaque NTLM Relay

Vérifié parCybersecurity entrepreneur & security researcher

Qu'est-ce que Attaque NTLM Relay ?

Attaque NTLM RelayAttaque de l'homme du milieu (MITRE T1557.001) ou un attaquant relaie l'authentification NTLM d'une victime vers un autre service pour usurper son identite sans connaitre son mot de passe.


Une attaque NTLM relay exploite la conception challenge-response de l'authentification NTLM (MS-NLMP). L'attaquant incite un hote victime a s'authentifier vers une infrastructure qu'il controle (via WebDAV, chemins UNC de partage de fichiers ou coercion) puis relaie les messages NTLM de la victime vers un service cible comme LDAP, SMB, l'enrolement web ADCS ou MSSQL. La cible complete le challenge et accorde un acces sous l'identite de la victime. Comme aucun mot de passe ni hash clair n'est recupere, seuls les protocoles signes cryptographiquement et lies au canal arretent l'attaque.

La faiblesse fondamentale est que l'authentification NTLM n'est pas liee au transport qui la vehicule : un challenge-response valide pour une connexion l'est pour n'importe quelle autre. Microsoft a passe plus d'une decennie a corriger des chemins de relais individuels plutot que la conception. CVE-2019-1040 ("Drop the MIC") permettait de retirer le champ Message Integrity Check du message NTLM_AUTHENTICATE, reactivant le relais inter-protocole de SMB vers LDAP/LDAPS via ntlmrelayx --remove-mic. Les vecteurs de coercion continuent d'apparaitre : le PrinterBug (MS-RPRN), PetitPotam (MS-EFSRPC, CVE-2021-36942, corrige le 10 aout 2021) et DFSCoerce forcent tous un hote choisi, souvent un controleur de domaine, a s'authentifier a la demande. Relayer le compte machine d'un DC coerce vers l'enrolement web ADCS (la technique ESC8) produit un certificat qui authentifie en tant que DC, permettant DCSync et la prise de controle totale du domaine.

flowchart LR
  A[Attaquant] -->|1. Coercion / empoisonnement<br/>PetitPotam, PrinterBug, LLMNR| V[Hote victime]
  V -->|2. NTLM_NEGOTIATE| A
  A -->|3. Relais vers la cible| T[(Cible : LDAP / SMB / ADCS)]
  T -->|4. Challenge| A
  A -->|5. Transfert du challenge| V
  V -->|6. NTLM_AUTHENTICATE| A
  A -->|7. Relais de la reponse| T
  T -->|8. Acces accorde en tant que victime| A

Mitigations : imposer la signature SMB, activer la signature LDAP et le channel binding / Extended Protection for Authentication (EPA), desactiver NTLM quand c'est possible, et corriger les vecteurs de coercion (y compris le bug de reflexion du client SMB de 2025, CVE-2025-33073). ntlmrelayx d'Impacket est l'outil de reference.

Exemples

  1. 01

    Forcer un controleur de domaine via PetitPotam et relayer son NTLM vers ADCS pour obtenir un certificat de DC.

  2. 02

    Relayer le NTLMv2 d'un poste vers MSSQL avec xp_cmdshell active pour obtenir une RCE.

Questions fréquentes

Qu'est-ce que Attaque NTLM Relay ?

Attaque de l'homme du milieu (MITRE T1557.001) ou un attaquant relaie l'authentification NTLM d'une victime vers un autre service pour usurper son identite sans connaitre son mot de passe. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.

Que signifie Attaque NTLM Relay ?

Attaque de l'homme du milieu (MITRE T1557.001) ou un attaquant relaie l'authentification NTLM d'une victime vers un autre service pour usurper son identite sans connaitre son mot de passe.

Comment se défendre contre Attaque NTLM Relay ?

Les défenses contre Attaque NTLM Relay combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Quels sont les autres noms de Attaque NTLM Relay ?

Noms alternatifs courants : NTLM relaying, T1557.001.

Termes liés

Voir aussi