Close Menu
fredag, augusti 22
Attack

NTLM Relay-attacker: Windows-autentisering under attack

daniel larssonBy Updated:Inga kommentarer3 Mins Read

Bakgrund: Vad är NTLM?

NTLM (NT LAN Manager) är ett äldre autentiseringsprotokoll från Microsoft som används för att verifiera användare inom Windows-nätverk. Trots att det gradvis ersatts av Kerberos i moderna miljöer används NTLM fortfarande i många system – särskilt i intranät, legacyapplikationer och fallback-situationer.

Det finns Ntlm Relay attacker som är den vanligaste attacken i Active Directory.

NTLM Relay är en typ av man-in-the-middle-attack (MITM) där en angripare kapar och vidarebefordrar autentiseringstrafik mellan en användare och en tjänst – utan att dekryptera eller knäcka lösenordet. Syftet är att autenticera sig själv mot en annan resurs i offrets namn, exempelvis en filserver eller domänkontrollant, och på så sätt få obehörig åtkomst.

NTLM bygger på en utmanings-/svarsmodell som är sårbar för reläattacker eftersom protokollet inte kontrollerar vem som initierade autentiseringen – bara att den är giltig.

Hur fungerar en NTLM Relay-attack?

  1. Upprättar MITM-position
    Angriparen lurar offret (t.ex. via nätfiske, ARP-spoofing eller SMB/HTTP-server) att autentisera sig mot angriparens system.
  2. Tar emot NTLM-inloggningsförsök
    Offret försöker ansluta till en resurs, men anslutningen går via angriparens server. Angriparen mottar NTLM challenge/response.
  3. Reläar (vidarebefordrar) inloggningen
    Angriparen skickar vidare samma autentiseringsförsök till en annan legitim server, t.ex. en filserver eller domänkontrollant.
  4. Får tillgång med offrets identitet
    Om den mottagande tjänsten accepterar NTLM utan extra skydd, får angriparen autentiserad åtkomst med offrets behörighet – ofta som domänanvändare eller administratör.

❗ NTLM Relay innebär inte att lösenordet knäcks – angriparen ”lånar” identiteten genom att mellanlagra och vidarebefordra informationen.

Exempel: Praktisk användning

En vanlig attack är att sätta upp en falsk SMB- eller HTTP-server (t.ex. med verktyg som ntlmrelayx från Impacket) och vänta på att klienter försöker ansluta. När NTLM-autentisering initieras, reläas den till en riktig server och om den accepterar NTLM – bingo: angriparen får tillgång.

Vanliga verktyg för NTLM Relay

  • Impacket – särskilt ntlmrelayx.py, det mest använda verktyget i penetrationstester.
  • Responder – lyssnar på nätverket och fångar NTLM-hashar.
  • PetitPotam – triggar NTLM-autentisering från Windows-servrar (används ofta i kombination med relay).
  • MITM6 – för IPv6-baserad reläattack.

Skydd mot NTLM Relay-attacker

Microsoft och säkerhetsbranschen rekommenderar flera åtgärder för att skydda sig:

🔐 Aktivera SMB Signing och LDAP Signing

  • Krävs för att förhindra att relay-försök godkänns.
  • Obligatoriskt i domänmiljöer sedan Windows Server 2022.

🛑 Blockera NTLM där det inte behövs

  • Använd Kerberos istället.
  • Ställ in Network security: Restrict NTLM i GPO.

🧱 Segmentera nätverk och isolera tjänster

  • Minska risken att angripare får tillgång till båda ändarna av autentiseringsflödet.

📊 Loggning och övervakning

  • Aktivera event ID 4624 och 4648 (användarinloggningar) för att upptäcka onormal användning.
  • Övervaka SMB och HTTP-trafik.

🧪 Penetrationstesta miljön

  • Genomför regelbundna tester för att se om NTLM Relay är möjligt.

NTLM-relay har utnyttjats i flera avancerade attacker:

  • Exchange-serversårbarheter (ProxyShell/ProxyRelay) – utnyttjade NTLM relay för att ta över e-postsystem.
  • Active Directory Certificate Services (AD CS) – felkonfigurerade AD CS-installationer möjliggjorde NTLM-relay-attacker mot domänkontrollanter (”ESC8” från SpecterOps).
  • PetitPotam (CVE-2021-36942) – ett allvarligt exempel som tvingade NTLM-auth och möjliggjorde relay mot AD CS.

Sammanfattning

En NTLM Relay-attack är ett effektivt sätt för angripare att utnyttja Windows-miljöers förtroende mellan system. Genom att vidarebefordra autentisering kan de agera i offrets namn utan att någonsin knäcka ett lösenord.

Att förebygga detta kräver tekniska åtgärder som signering, borttagning av NTLM, nätverkskontroll och medvetenhet om hur reläattacker fungerar.

Vidare läsning

🧱 CERT/CC Advisory on NTLM Relay Attacks

Videon förklarar konceptet och hur du skyddar sig. NTLM är ett protokoll för identifiering och challenge response med olika typer av meddelanden och används i http,-protokollet, ldap, SMB och av Mssql.

🔧 Microsoft Defender – Preventing NTLM Relay Attacks

🧪 Impacket – ntlmrelayx

🔍 SpecterOps – AD CS Exploitation Guide (ESC8)

Share.

Daniel Larsson har jobbat med cybersecurity och datasäkerhet med fokus på Internet sedan 1998. Under åren har han marknadsfört scaleup cyberbolag inom områden som PKI, certifikat, digital signering, mobil säkerhet och kryptering. Han har tung erfarenhet av digital marknadsföring, webbutveckling och e-handel från några av världens största varumärken och jobbar till vardags på Expandtalk.

Related Posts

Leave A Reply

Denna webbplats använder Akismet för att minska skräppost. Lär dig om hur din kommentarsdata bearbetas.