SMB Relay

Le SMB Relay est la variante la plus exploitée du NTLM Relay : l'attaquant relaye l'authentification NTLM d'une victime vers un partage SMB (Server Message Block) sur un autre serveur du réseau, obtenant ainsi un accès au système de fichiers et — si la victime relayée a des privilèges admin sur la cible — la possibilité d'exécuter du code à distance via PsExec-like (création d'un service Windows, copie de binaire, scheduled task).

L'attaque est dévastatrice quand des comptes admin de domaine partagent des credentials NTLM sur de multiples serveurs (ce qui est extrêmement courant). Outils : ntlmrelayx.py de Impacket avec target spécifié (--target smb://192.168.1.10), couplé à Responder (LLMNR/NBT-NS poisoning) ou des coercion techniques (PetitPotam, PrinterBug, ShadowCoerce, DFSCoerce). Avec un compte privilégié relayé, ntlmrelayx peut exécuter directement des commandes (-c), dump SAM, ou installer des binaires.

La contre-mesure native est SMB Signing : si activé sur la cible, l'attaquant ne peut pas relayer car la session SMB requiert une signature liée à la session originale. Par défaut, SMB Signing est obligatoire uniquement sur les Domain Controllers, mais facultatif/désactivé sur les serveurs membres et stations — un héritage de performance qui crée une surface d'attaque massive.

Mitigations : (1) imposer SMB Signing partout via GPO (Microsoft network server: Digitally sign communications (always) = Enabled) — Windows 11 24H2 l'active par défaut ; (2) désactiver SMBv1 (déjà recommandé depuis WannaCry 2017) ; (3) désactiver NTLM quand possible (Kerberos only) ; (4) bloquer LLMNR/NBT-NS ; (5) segmenter le réseau pour limiter le scope de relay ; (6) PAW pour les comptes Tier 0.