Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 840

Атака NTLM Relay

ПроверилCybersecurity entrepreneur & security researcher

Что такое Атака NTLM Relay?

Атака NTLM RelayАтака «человек посередине» (MITRE T1557.001), в которой злоумышленник пересылает NTLM-аутентификацию жертвы другому сервису и выдаёт себя за неё, не зная пароля.


Атака NTLM Relay злоупотребляет схемой challenge-response аутентификации NTLM (MS-NLMP). Атакующий вынуждает узел-жертву аутентифицироваться к подконтрольной инфраструктуре — через WebDAV, UNC-пути файловых шар или принуждение — а затем пересылает NTLM-сообщения жертвы целевому сервису, такому как LDAP, SMB, веб-регистрация ADCS или MSSQL. Цель выполняет challenge и предоставляет доступ под личностью жертвы. Поскольку пароль или хеш в открытом виде не извлекаются, остановить атаку могут только криптографически подписанные протоколы с привязкой к каналу.

Ключевая слабость в том, что аутентификация NTLM не привязана к транспорту, который её несёт, поэтому challenge-response, действительный для одного соединения, действителен и для любого другого. Microsoft более десяти лет латает отдельные пути ретрансляции, а не саму архитектуру. CVE-2019-1040 («Drop the MIC») позволяла атакующим удалять поле Message Integrity Check из сообщения NTLM_AUTHENTICATE, вновь открывая кросс-протокольную ретрансляцию из SMB в LDAP/LDAPS через ntlmrelayx --remove-mic. Векторы принуждения продолжают появляться: PrinterBug (MS-RPRN), PetitPotam (MS-EFSRPC, CVE-2021-36942, исправлено 10 августа 2021) и DFSCoerce — все они заставляют выбранный узел, часто контроллер домена, аутентифицироваться по требованию. Ретрансляция принуждённой машинной учётной записи DC в веб-регистрацию ADCS (техника ESC8) даёт сертификат, аутентифицирующий как DC, что открывает DCSync и полный захват домена.

flowchart LR
  A[Атакующий] -->|1. Принуждение / отравление<br/>PetitPotam, PrinterBug, LLMNR| V[Узел-жертва]
  V -->|2. NTLM_NEGOTIATE| A
  A -->|3. Ретрансляция к цели| T[(Цель: LDAP / SMB / ADCS)]
  T -->|4. Challenge| A
  A -->|5. Пересылка challenge| V
  V -->|6. NTLM_AUTHENTICATE| A
  A -->|7. Ретрансляция отклика| T
  T -->|8. Доступ предоставлен как жертве| A

Меры защиты: обязательная подпись SMB, включение подписи LDAP и привязки к каналу / Extended Protection for Authentication (EPA), отключение NTLM где это возможно и закрытие векторов принуждения (включая ошибку отражения SMB-клиента 2025 года CVE-2025-33073). Эталонный инструмент — ntlmrelayx из Impacket.

Примеры

  1. 01

    Принудить контроллер домена с помощью PetitPotam и переслать его NTLM-аутентификацию в ADCS, получив сертификат DC.

  2. 02

    Переслать NTLMv2 рабочей станции на MSSQL с включённым xp_cmdshell для RCE.

Частые вопросы

Что такое Атака NTLM Relay?

Атака «человек посередине» (MITRE T1557.001), в которой злоумышленник пересылает NTLM-аутентификацию жертвы другому сервису и выдаёт себя за неё, не зная пароля. Относится к категории Атаки и угрозы в кибербезопасности.

Что означает Атака NTLM Relay?

Атака «человек посередине» (MITRE T1557.001), в которой злоумышленник пересылает NTLM-аутентификацию жертвы другому сервису и выдаёт себя за неё, не зная пароля.

Как защититься от Атака NTLM Relay?

Защита от Атака NTLM Relay обычно сочетает технические меры и операционные практики, как описано в определении выше.

Какие есть другие названия Атака NTLM Relay?

Распространённые альтернативные названия: NTLM relaying, T1557.001.

Связанные термины

См. также