Attaque NTLM Relay
Qu'est-ce que Attaque NTLM Relay ?
Attaque NTLM RelayAttaque de l'homme du milieu (MITRE T1557.001) ou un attaquant relaie l'authentification NTLM d'une victime vers un autre service pour usurper son identite sans connaitre son mot de passe.
Le NTLM relay exploite le mecanisme challenge-response de NTLM. L'attaquant incite un hote victime a s'authentifier vers une infrastructure qu'il controle (via WebDAV, chemins UNC, coercion type PetitPotam) et relaie les messages NTLM vers un service cible comme LDAP, SMB, l'enrolement web ADCS ou MSSQL. La cible accepte la reponse au challenge et accorde un acces a l'attaquant sous l'identite de la victime. Comme aucun mot de passe ni hash clair n'est recupere, seuls les protocoles signes et lies au canal arretent l'attaque. Les mitigations incluent l'imposition de la signature SMB, la signature LDAP et le channel binding (EPA), la desactivation de NTLM quand possible et le patch des vecteurs de coercion. ntlmrelayx d'Impacket est l'outil de reference.
● Exemples
- 01
Forcer un controleur de domaine via PetitPotam et relayer son NTLM vers ADCS pour obtenir un certificat de DC.
- 02
Relayer le NTLMv2 d'un poste vers MSSQL avec xp_cmdshell active pour obtenir une RCE.
● Questions fréquentes
Qu'est-ce que Attaque NTLM Relay ?
Attaque de l'homme du milieu (MITRE T1557.001) ou un attaquant relaie l'authentification NTLM d'une victime vers un autre service pour usurper son identite sans connaitre son mot de passe. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Attaque NTLM Relay ?
Attaque de l'homme du milieu (MITRE T1557.001) ou un attaquant relaie l'authentification NTLM d'une victime vers un autre service pour usurper son identite sans connaitre son mot de passe.
Comment fonctionne Attaque NTLM Relay ?
Le NTLM relay exploite le mecanisme challenge-response de NTLM. L'attaquant incite un hote victime a s'authentifier vers une infrastructure qu'il controle (via WebDAV, chemins UNC, coercion type PetitPotam) et relaie les messages NTLM vers un service cible comme LDAP, SMB, l'enrolement web ADCS ou MSSQL. La cible accepte la reponse au challenge et accorde un acces a l'attaquant sous l'identite de la victime. Comme aucun mot de passe ni hash clair n'est recupere, seuls les protocoles signes et lies au canal arretent l'attaque. Les mitigations incluent l'imposition de la signature SMB, la signature LDAP et le channel binding (EPA), la desactivation de NTLM quand possible et le patch des vecteurs de coercion. ntlmrelayx d'Impacket est l'outil de reference.
Comment se défendre contre Attaque NTLM Relay ?
Les défenses contre Attaque NTLM Relay combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Attaque NTLM Relay ?
Noms alternatifs courants : NTLM relaying, T1557.001.
● Termes liés
- attacks№ 1057
Attaque SMB Relay
Variante particuliere du NTLM relay ou un attaquant relaie l'authentification SMB d'une victime vers un autre serveur SMB pour obtenir une execution de code ou un acces aux fichiers en son nom.
- attacks№ 620
Empoisonnement LLMNR
Technique d'adversary-in-the-middle (MITRE T1557.001) qui abuse du protocole Link-Local Multicast Name Resolution sur UDP/5355 pour rediriger les victimes vers des hotes controles par l'attaquant.
- attacks№ 715
Empoisonnement NBT-NS
Attaque d'adversary-in-the-middle qui abuse du trafic legacy NetBIOS Name Service sur UDP/137 pour falsifier les reponses de noms et collecter des authentifications NTLM.
- attacks№ 924
Attaque Responder
Attaque utilisant l'outil Responder de Laurent Gaffie pour empoisonner LLMNR, NBT-NS et mDNS, heberger des services d'authentification factices et capturer ou relayer des identifiants NTLM sur un reseau local.
- attacks№ 790
Pass-the-Hash
Attaque par reutilisation d'identifiants qui s'authentifie sur des systemes Windows en utilisant un hash NTLM derobe a la place du mot de passe en clair.