La Renaissance des Attaques de Relay NTLM : Tout ce que vous devez savoir

"Les attaques de relais NTLM sont toujours une menace significative, permettant aux attaquants de compromettre les hôtes joints au domaine et de se déplacer latéralement. Malgré être une vieille attaque, le relais NTLM est souvent sous-estimé et mal compris. NTLM est un protocole d'authentification hérité introduit par Microsoft en 1993, et bien que Kerberos soit le protocole préféré, NTLM est encore largement utilisé. NTLM empêche les attaques de relecture en utilisant un échange de défis-réponses, mais il est vulnérable aux attaques de relais. L'échange d'authentification NTLM implique un échange de trois messages entre le client et le serveur. Il existe deux versions majeures de l'algorithme de génération de réponse NTLM : NTLMv1 et NTLMv2. NTLMv1 est un algorithme obsolète qui utilise le chiffrement DES et est susceptible d'attaques, tandis que NTLMv2 utilise HMAC-MD5 et est encore utilisé aujourd'hui. La valeur de registre du niveau de compatibilité LM contrôle la prise en charge de la version NTLM sur les hôtes Windows, et un niveau inférieur peut activer NTLMv1, ce qui peut avoir des conséquences désastreuses. Le cracking de mots de passe est un problème, et un attaquant peut craquer un échange NTLM capturé pour récupérer le mot de passe ou utiliser le hachage NT pour les attaques de type "Pass the Hash". Les attaques de relais sont la façon la plus simple de compromettre les hôtes joints au domaine, permettant aux attaquants de s'authentifier en tant que victime sur la cible sans craquer les mots de passe."