Ренессанс атак NTLM Relay: Все, что вам нужно знать

Атаки NTLM relay по-прежнему представляют значительную угрозу, позволяя злоумышленникам скомпрометировать присоединенные к домену хосты и перемещаться по сети. Несмотря на то, что это старая атака, NTLM relay часто недооценивается и неправильно понимается. NTLM - это устаревший протокол аутентификации, представленный Microsoft в 1993 году, и хотя Kerberos является предпочтительным протоколом, NTLM все еще широко используется. NTLM предотвращает атаки повторного воспроизведения с помощью обмена запросом-ответом, но он уязвим для атак relay. Обмен аутентификацией NTLM включает в себя трехсообщный обмен между клиентом и сервером. Существуют две основные версии алгоритмов генерации ответов NTLM: NTLMv1 и NTLMv2. NTLMv1 - это устаревший алгоритм, использующий шифрование DES и подверженный атакам, в то время как NTLMv2 использует HMAC-MD5 и все еще используется сегодня. Значение реестра LM Compatibility Level контролирует поддержку версий NTLM на хостах Windows, и более низкий уровень может включить NTLMv1, что может иметь печальные последствия. Взлом пароля - это проблема, и злоумышленник может взломать захваченный обмен NTLM, чтобы восстановить пароль или использовать NT-хеш для атак Pass the Hash. Атаки relay являются самым простым способом скомпрометировать присоединенные к домену хосты, позволяя злоумышленникам аутентифицироваться как жертва на целевом сервере без взлома паролей.