Ataque de NTLM Relay
O que é Ataque de NTLM Relay?
Ataque de NTLM RelayAtaque adversary-in-the-middle (MITRE T1557.001) em que o atacante encaminha a autenticacao NTLM de uma vitima a outro servico para se passar por ela sem saber a senha.
O NTLM relay abusa do design challenge-response do NTLM. O atacante leva o host vitima a autenticar contra infraestrutura sob seu controle (via WebDAV, caminhos UNC ou coercao tipo PetitPotam) e encaminha as mensagens NTLM a um servico-alvo como LDAP, SMB, enrolamento web do ADCS ou MSSQL. O alvo aceita a resposta legitima ao desafio e concede acesso ao atacante com a identidade da vitima. Como nao se recupera senha nem hash em claro, somente protocolos assinados e ligados ao canal interrompem o ataque. Mitigacoes incluem forcar assinatura SMB, assinatura LDAP e channel binding (EPA), desabilitar NTLM quando possivel e corrigir vetores de coercao. O ntlmrelayx do Impacket e a ferramenta de referencia.
● Exemplos
- 01
Coagir um controlador de dominio via PetitPotam e relayar seu NTLM ao ADCS para obter um certificado de DC.
- 02
Relayar o NTLMv2 de uma estacao para MSSQL com xp_cmdshell habilitado e conseguir RCE.
● Perguntas frequentes
O que é Ataque de NTLM Relay?
Ataque adversary-in-the-middle (MITRE T1557.001) em que o atacante encaminha a autenticacao NTLM de uma vitima a outro servico para se passar por ela sem saber a senha. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Ataque de NTLM Relay?
Ataque adversary-in-the-middle (MITRE T1557.001) em que o atacante encaminha a autenticacao NTLM de uma vitima a outro servico para se passar por ela sem saber a senha.
Como funciona Ataque de NTLM Relay?
O NTLM relay abusa do design challenge-response do NTLM. O atacante leva o host vitima a autenticar contra infraestrutura sob seu controle (via WebDAV, caminhos UNC ou coercao tipo PetitPotam) e encaminha as mensagens NTLM a um servico-alvo como LDAP, SMB, enrolamento web do ADCS ou MSSQL. O alvo aceita a resposta legitima ao desafio e concede acesso ao atacante com a identidade da vitima. Como nao se recupera senha nem hash em claro, somente protocolos assinados e ligados ao canal interrompem o ataque. Mitigacoes incluem forcar assinatura SMB, assinatura LDAP e channel binding (EPA), desabilitar NTLM quando possivel e corrigir vetores de coercao. O ntlmrelayx do Impacket e a ferramenta de referencia.
Como se defender contra Ataque de NTLM Relay?
As defesas contra Ataque de NTLM Relay costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Ataque de NTLM Relay?
Nomes alternativos comuns: NTLM relaying, T1557.001.
● Termos relacionados
- attacks№ 1057
Ataque de SMB Relay
Variante especifica do NTLM relay em que o atacante encaminha a autenticacao SMB de uma vitima a outro servidor SMB para obter execucao de codigo ou acesso a arquivos como a vitima.
- attacks№ 620
Envenenamento LLMNR
Tecnica adversary-in-the-middle (MITRE T1557.001) que abusa do protocolo Link-Local Multicast Name Resolution em UDP/5355 para redirecionar vitimas a hosts controlados pelo atacante.
- attacks№ 715
Envenenamento NBT-NS
Ataque adversary-in-the-middle que abusa do trafego legado do NetBIOS Name Service em UDP/137 para forjar respostas de nomes e capturar autenticacoes NTLM.
- attacks№ 924
Ataque com Responder
Ataque que usa o Responder de Laurent Gaffie para envenenar LLMNR, NBT-NS e mDNS, hospedar servicos de autenticacao falsos e capturar ou relayar credenciais NTLM em uma rede local.
- attacks№ 790
Pass-the-Hash
Ataque de reutilizacao de credenciais que se autentica em sistemas Windows usando um hash NTLM roubado em vez da senha em texto claro.