Memahami Serangan NTLM Relay
Serangan NTLM Relay adalah jenis ancaman keamanan siber yang mengeksploitasi kerentanan dalam protokol otentikasi NTLM (NT LAN Manager) milik Microsoft. Protokol ini digunakan dalam lingkungan Windows untuk memverifikasi identitas pengguna atau sistem. Berbeda dengan serangan Pass-the-Hash yang mencuri dan menggunakan hash kata sandi secara langsung, serangan NTLM Relay mencegat permintaan otentikasi dan meneruskannya (relay) ke layanan lain untuk mendapatkan akses, tanpa perlu mengetahui kata sandi asli atau hash-nya. Penyerang bertindak sebagai perantara di antara klien dan server.
Mekanisme Serangan NTLM Relay
Cara kerja serangan NTLM Relay dimulai ketika penyerang berhasil memancing klien (seperti pengguna atau layanan) untuk mencoba terhubung ke sumber daya yang dikontrol oleh penyerang. Klien akan mengirimkan permintaan otentikasi NTLM yang berisi informasi otentikasi mereka. Penyerang mencegat permintaan ini. Alih-alih mendekripsi atau mencuri kredensial, penyerang segera meneruskan permintaan otentikasi yang dicegat tersebut ke server atau layanan target yang sah yang ingin mereka akses. Server target memproses permintaan yang ‘direlai’ ini seolah-olah datang langsung dari klien yang sah, dan jika otentikasi berhasil, server memberikan akses kepada penyerang, yang sebenarnya bertindak atas nama klien yang sah.
Bahaya dan Risiko Serangan NTLM Relay
Risiko utama dari serangan NTLM Relay adalah penyerang dapat memperoleh akses tidak sah ke berbagai sumber daya di jaringan, termasuk server file, server email, domain controller, atau sistem sensitif lainnya. Jika kredensial yang direlai memiliki hak akses tinggi, penyerang dapat melakukan eskalasi hak istimewa, mencuri data sensitif, menyebarkan malware, atau bahkan mengambil alih seluruh domain. Serangan ini efektif karena banyak sistem masih mengandalkan otentikasi NTLM, dan konfigurasi jaringan tertentu dapat memfasilitasinya.
Strategi Pencegahan dan Mitigasi NTLM Relay
Beberapa langkah krusial dapat diambil untuk mencegah atau memitigasi serangan NTLM Relay. Strategi paling efektif adalah menonaktifkan atau membatasi penggunaan NTLM dan beralih ke protokol otentikasi yang lebih aman seperti Kerberos jika memungkinkan. Menerapkan penandaan saluran SMB Signing (Server Message Block Signing) atau LDAP Signing adalah mitigasi penting karena mewajibkan integritas pesan, membuat serangan relay lebih sulit. Membatasi kredensial administratif hanya pada akun yang memerlukannya dan menerapkan prinsip hak istimewa paling rendah juga mengurangi dampak serangan jika terjadi. Selain itu, konfigurasi firewall yang ketat, segmentasi jaringan, dan pemantauan aktivitas otentikasi yang tidak biasa dapat membantu mendeteksi dan mencegah upaya relay.
Sumber: https://www.helpnetsecurity.com/2025/07/04/ntlm-relay-attacks/