Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 840

Ataque de NTLM Relay

Revisado porCybersecurity entrepreneur & security researcher

O que é Ataque de NTLM Relay?

Ataque de NTLM RelayAtaque adversary-in-the-middle (MITRE T1557.001) em que o atacante encaminha a autenticacao NTLM de uma vitima a outro servico para se passar por ela sem saber a senha.


Um ataque de NTLM relay abusa do design challenge-response da autenticacao NTLM (MS-NLMP). O atacante engana um host vitima para que se autentique contra infraestrutura sob seu controle (via WebDAV, caminhos UNC de compartilhamento de ficheiros ou coercao) e depois encaminha as mensagens NTLM da vitima a um servico-alvo como LDAP, SMB, enrolamento web do ADCS ou MSSQL. O alvo completa o desafio e concede acesso com a identidade da vitima. Como nenhuma senha em claro ou hash e recuperada, somente protocolos assinados criptograficamente e ligados ao canal interrompem o ataque.

A fraqueza definidora e que a autenticacao NTLM nao esta ligada ao transporte que a carrega, de modo que um challenge-response valido para uma conexao e valido para qualquer outra. A Microsoft passou mais de uma decada a corrigir caminhos de relay individuais em vez do design. A CVE-2019-1040 ("Drop the MIC") permitiu aos atacantes remover o campo Message Integrity Check da mensagem NTLM_AUTHENTICATE, reativando o relay cross-protocolo de SMB para LDAP/LDAPS via ntlmrelayx --remove-mic. Os vetores de coercao continuam a surgir: o PrinterBug (MS-RPRN), o PetitPotam (MS-EFSRPC, CVE-2021-36942, corrigido em 10 de agosto de 2021) e o DFSCoerce forcam todos um host escolhido (muitas vezes um controlador de dominio) a autenticar a pedido. Relayar a conta de maquina de um DC coagido ao enrolamento web do ADCS (a tecnica ESC8) produz um certificado que autentica como o DC, permitindo DCSync e tomada total do dominio.

flowchart LR
  A[Atacante] -->|1. Coagir / envenenar<br/>PetitPotam, PrinterBug, LLMNR| V[Host vitima]
  V -->|2. NTLM_NEGOTIATE| A
  A -->|3. Relayar ao alvo| T[(Alvo: LDAP / SMB / ADCS)]
  T -->|4. Desafio| A
  A -->|5. Encaminhar desafio| V
  V -->|6. NTLM_AUTHENTICATE| A
  A -->|7. Relayar resposta| T
  T -->|8. Acesso concedido como vitima| A

Mitigacoes: forcar assinatura SMB, ativar assinatura LDAP e channel binding / Extended Protection for Authentication (EPA), desabilitar NTLM quando possivel e corrigir vetores de coercao (incluindo o bug de reflexao do cliente SMB de 2025 CVE-2025-33073). O ntlmrelayx do Impacket e a ferramenta de referencia.

Exemplos

  1. 01

    Coagir um controlador de dominio via PetitPotam e relayar seu NTLM ao ADCS para obter um certificado de DC.

  2. 02

    Relayar o NTLMv2 de uma estacao para MSSQL com xp_cmdshell habilitado e conseguir RCE.

Perguntas frequentes

O que é Ataque de NTLM Relay?

Ataque adversary-in-the-middle (MITRE T1557.001) em que o atacante encaminha a autenticacao NTLM de uma vitima a outro servico para se passar por ela sem saber a senha. Pertence à categoria Ataques e ameaças da cibersegurança.

O que significa Ataque de NTLM Relay?

Ataque adversary-in-the-middle (MITRE T1557.001) em que o atacante encaminha a autenticacao NTLM de uma vitima a outro servico para se passar por ela sem saber a senha.

Como se defender contra Ataque de NTLM Relay?

As defesas contra Ataque de NTLM Relay costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Quais são outros nomes para Ataque de NTLM Relay?

Nomes alternativos comuns: NTLM relaying, T1557.001.

Termos relacionados

Ver também