Die Renaissance von NTLM-Relay-Angriffen: Alles, was Sie wissen müssen

"NTLM-Relay-Angriffe sind immer noch eine bedeutende Bedrohung, die es Angreifern ermöglicht, domaineingeordnete Hosts zu kompromittieren und laterale Bewegungen durchzuführen. Trotzdem sie ein alter Angriff ist, wird NTLM-Relay oft unterschätzt und missverstanden. NTLM ist ein Legacy-Authentifizierungsprotokoll, das 1993 von Microsoft eingeführt wurde, und während Kerberos das bevorzugte Protokoll ist, wird NTLM immer noch weit verbreitet verwendet. NTLM verhindert Replay-Angriffe durch einen Challenge-Response-Austausch, aber es ist anfällig für Relay-Angriffe. Der NTLM-Authentifizierungs-Austausch umfasst einen dreiteiligen Austausch zwischen Client und Server. Es gibt zwei Hauptalgorithmen für die NTLM-Antwortgenerierung: NTLMv1 und NTLMv2. NTLMv1 ist ein veralteter Algorithmus, der DES-Verschlüsselung verwendet und anfällig für Angriffe ist, während NTLMv2 HMAC-MD5 verwendet und noch heute in Gebrauch ist. Der Registrierwert "LM Compatibility Level" steuert die NTLM-Versionenunterstützung auf Windows-Hosts, und ein niedrigerer Wert kann NTLMv1 aktivieren, was katastrophale Folgen haben kann. Passwort-Knacken ist ein Problem, und ein Angreifer kann einen erfassten NTLM-Austausch knacken, um das Passwort wiederherzustellen oder den NT-Hash für Pass-the-Hash-Angriffe zu verwenden. Relay-Angriffe sind der einfachste Weg, domaineingeordnete Hosts zu kompromittieren, indem Angreifer sich als Opfer bei dem Ziel authentifizieren können, ohne Passwörter knacken zu müssen."