NTLM Relay

Le NTLM Relay est une attaque MITM qui exploite la conception du protocole NTLM (NT LAN Manager) : NTLM ne lie pas son challenge-response à un destinataire spécifique, ce qui permet à un attaquant interposé de relayer l'authentification d'une victime vers un service tiers, et de s'authentifier auprès de ce service en tant que la victime — sans connaître ni le mot de passe ni le hash.

Scénario typique : (1) l'attaquant force une victime à initier une authentification NTLM vers lui (via empoisonnement LLMNR/NBT-NS avec Responder, coercition via PetitPotam/PrinterBug/DFSCoerce, fichier piégé sur partage SMB, image avec UNC, etc.) ; (2) l'attaquant relaye en temps réel la séquence NTLM vers un service cible (LDAP/S sur DC, SMB sur fileserver, HTTP sur ADCS Web Enrollment, Exchange EWS) avec ntlmrelayx.py (Impacket) ; (3) le service authentifie l'attaquant en tant que victime, permettant des actions comme dump de la base AD (LDAP), création de partages, ajout de credentials shadow, ou émission d'un certificat ESC8 sur ADCS conduisant à un takeover de domaine.

Détection : (1) anomalies LLMNR/NBT-NS sur le réseau ; (2) Event ID 8004 (NTLM authentication audit) ; (3) authentifications NTLM avec channel binding incohérent ; (4) Microsoft Defender for Identity. Mitigations : (1) désactiver LLMNR et NBT-NS via GPO ; (2) imposer SMB signing partout (RequireSecuritySignature=1) ; (3) LDAP signing + LDAP channel binding sur les DC (KB4520412) ; (4) Extended Protection for Authentication (EPA) sur les services web NTLM ; (5) désactiver NTLMv1 et préférer Kerberos ; (6) sur ADCS, désactiver les Web Enrollment endpoints HTTP. Microsoft pousse désormais vers la dépréciation totale de NTLM (Windows 11 24H2).