NTLM Relay Attack (Relai NTLM)
hackingDéfinition
L'attaque NTLM Relay exploite le protocole d'authentification challenge-response NTLM de Microsoft en relayant les challenges d'authentification entre une victime et un service cible. Lorsqu'un client Windows tente de s'authentifier automatiquement (via des mécanismes comme LLMNR, NBT-NS, ou WPAD), l'attaquant intercepte ce challenge et le relaie vers un autre service réseau, s'authentifiant ainsi avec les droits de la victime sans jamais connaître son mot de passe. L'outil Responder capture les challenges, et ntlmrelayx (Impacket) les relaie automatiquement vers des cibles comme SMB, LDAP, MSSQL ou HTTP. Des exploitations avancées permettent de créer des comptes d'administration de domaine ou d'exécuter du code à distance. Les contre-mesures incluent la désactivation de LLMNR et NBT-NS, l'activation de SMB Signing et LDAP Signing, l'implémentation d'EPA (Extended Protection for Authentication) sur Exchange, et la migration progressive vers Kerberos.
Description
L'attaque NTLM Relay intercepte les challenges d'authentification NTLM pour les relayer vers un autre service réseau, s'authentifiant avec les droits de la victime sans connaître son mot de passe. Elle exploite LLMNR, NBT-NS et WPAD, protocoles actifs par défaut sur les réseaux Windows.
Exploitation
Responder capture les challenges et ntlmrelayx (Impacket) les relaie vers SMB, LDAP ou MSSQL. Des exploitations avancées permettent de créer des comptes Domain Admin ou d'exécuter du code à distance sur des systèmes sans SMB Signing.
Défense
- Désactiver LLMNR et NBT-NS via GPO pour éliminer les sources de capture NTLM
- Activer SMB Signing et LDAP Signing obligatoires sur tous les serveurs du domaine
- Implémenter EPA (Extended Protection for Authentication) sur Exchange et migrer progressivement vers Kerberos
Besoin d'un expert sur ce sujet ?
Audit, pentest, conformité ISO 27001, développement IA sécurisé — demandez un devis gratuit.
Demander un devis