MITM6 + NTLM-Relay: Wie die automatische IPv6-Konfiguration Unternehmen angreifbar macht

Standardfunktion in Windows eröffnet Hackern Tür und Tor

Eine unscheinbare, oft ungenutzte Funktion in Windows-Netzwerken kann für Angreifer zum Einfallstor werden: die automatische IPv6-Konfiguration. Obwohl IPv6 in vielen Unternehmen noch keine große Rolle spielt, ist das Protokoll auf Windows-Systemen standardmäßig aktiv – und hat Vorrang vor IPv4. Sicherheitsforscher warnen: Diese Konstellation kann in bestimmten Szenarien zur vollständigen Kompromittierung einer Domäne führen.

Das Cybersicherheitsunternehmen Resecurity beschreibt, wie Angreifer mit der Technik MITM6 in Kombination mit NTLM-Relay unbemerkt in Unternehmensnetzwerke eindringen können. Bereits ein einziges kompromittiertes Gerät im WLAN – etwa ein IoT-Gerät – genügt, um als bösartiger IPv6-DHCP- und DNS-Server zu agieren. Windows-Clients akzeptieren dessen Konfiguration, auch wenn parallel eine saubere IPv4-Umgebung vorhanden ist.

So funktioniert der Angriff

Bei jedem Systemstart oder beim Verbindungsaufbau zum Netzwerk senden Windows-Rechner automatisch DHCPv6-Anfragen – selbst dann, wenn IPv6 offiziell gar nicht genutzt wird. Angreifer können diese Anfragen abfangen und mit gefälschten Antworten bedienen. So wird dem Opfer ein manipuliertes DNS-System untergeschoben, über das sämtliche Anfragen kontrolliert und umgeleitet werden können.

Kombiniert mit dem bekannten Tool ntlmrelayx aus dem Impacket-Framework wird der Angriff besonders gefährlich: Über WPAD-Spoofing (Web Proxy Auto-Discovery Protocol) lassen sich NTLM-Authentifizierungen abfangen und an andere Dienste weiterleiten. Dadurch erhalten Angreifer Zugangsdaten, die sie Schritt für Schritt zu höheren Berechtigungen eskalieren können.

Besonders kritisch: In Standardkonfigurationen von Active Directory darf jeder authentifizierte Benutzer neue Computerkonten hinzufügen. In Verbindung mit Techniken wie der ressourcenbasierten eingeschränkten Delegierung (RBCD) lässt sich dies missbrauchen, um privilegierte Zugriffe zu erlangen – bis hin zur vollständigen Übernahme der Domäne.

Gefahr unterschätzt

„Viele Administratoren deaktivieren IPv6 nicht, weil es scheinbar keine Rolle spielt. Genau das macht es für Angreifer so interessant“, warnt Resecurity. Das Problem ist nicht neu: Schon früher haben Sicherheitsforscher wie VK9 Security auf die Gefahren hingewiesen, die sich aus der DNS-Manipulation über IPv6 ergeben.

Der MITM6-NTLM-Relay-Angriff zeigt, wie riskant unscheinbare Standardfunktionen in komplexen IT-Infrastrukturen sein können. Für Angreifer reicht oft ein einziges Einfallstor, um komplette Netzwerke unter ihre Kontrolle zu bringen. Sicherheitsexperten raten deshalb dringend, IPv6 in Umgebungen, in denen es nicht aktiv genutzt wird, zu deaktivieren oder zumindest abzusichern.

Warum der MITM6- + NTLM-Relay-Angriff funktioniert

Windows-Systeme bevorzugen standardmäßig IPv6 gegenüber IPv4. Das führt dazu, dass ein Rechner bereits beim Start versucht, seine Netzwerkkonfiguration über DHCPv6 und nicht über DHCPv4 zu beziehen – selbst dann, wenn im Netzwerk gar kein IPv6 im Einsatz ist. Genau dieses Verhalten öffnet Angreifern die Tür.

Ein weiterer Faktor ist die Standardkonfiguration von Active Directory: Jeder authentifizierte Domänenbenutzer darf bis zu zehn Computerobjekte in die Domäne einfügen. Diese Vorgabe wird über das Attribut ms-DS-MachineAccountQuota geregelt und erfordert keine besonderen Rechte.

Hinzu kommt, dass Computerkonten in AD über LDAP bestimmte Attribute ihrer eigenen Objekte verändern können. Besonders relevant ist hier msDS-AllowedToActOnBehalfOfOtherIdentity, das für die sogenannte ressourcenbasierte eingeschränkte Delegierung (RBCD) genutzt wird.

Gelingt es einem Angreifer, ein solches Computerobjekt zu erstellen oder zu übernehmen, kann er RBCD so manipulieren, dass sein kontrolliertes Maschinenkonto privilegierte Konten nachahmt. Mit dieser Imitation lassen sich Befehle ausführen, auf Ressourcen zugreifen und schließlich auch besonders geschützte Systeme wie Domänencontroller kompromittieren.

Durchlauf der Angriffskette

Grafik Quelle: Resesurity

So läuft der MITM6- + NTLM-Relay-Angriff ab

Die Sicherheitsforscher von Resecurity beschreiben den Ablauf eines Angriffs in mehreren klar definierten Schritten.

Schritt 1 – Der falsche DHCPv6-Server
Zunächst kommt das Tool mitm6 zum Einsatz. Es lässt den Angreifer als gefälschten DHCPv6- und DNS-Server auftreten und bringt so Windows-Clients dazu, manipulierte Konfigurationen zu akzeptieren.

Schritt 2 – Authentifizierung an LDAP weiterleiten
Im nächsten Schritt übernimmt ntlmrelayx die zentrale Rolle. Das Tool fängt NTLM-Anmeldeversuche ab und leitet sie über LDAPS an den LDAP-Dienst weiter. Dabei wird ein bösartiges Computerkonto in Active Directory erstellt und so manipuliert, dass Identitätsdiebstahl möglich wird.

Schritt 3 – Passwort-Hashes abgreifen
Mit dem neu angelegten Konto lassen sich anschließend Passwort-Hashes aus der Domäne auslesen. Angreifer können dabei den Benutzernamen und das Passwort nutzen, die im Rahmen des Relays generiert wurden.

Schritt 4 – Angreifbare Hosts finden
Sind einmal gültige NTLM-Hashes im Besitz des Angreifers – etwa von Administratoren oder Dienstkonten –, folgt die Suche nach Systemen, die damit erreichbar sind. Das Tool CrackMapExec ermöglicht es, Anmeldedaten gegen zahlreiche Hosts im Netzwerk zu testen, SMB-Freigaben auszulesen und die Reichweite der Kompromittierung zu erweitern.

Schritt 5 – Kontrolle übernehmen
Im letzten Schritt geht es um die eigentliche Übernahme kompromittierter Systeme. Mit den gestohlenen Hashes können sich Angreifer auf Zielrechnern anmelden und von dort aus lateral weiterbewegen. Häufig kommen dafür Werkzeuge wie WMIExec – unauffällig und ohne Datei-Uploads – oder PsExec, das interaktiv einen Dienst auf dem Remote-Host anlegt, zum Einsatz.

Auswirkungen des Angriffs

Der MITM6 + NTLM-Relay-Angriff hat schwerwiegende Folgen für Active Directory-Umgebungen, da er Netzwerküberwachung mit Techniken zur Rechteausweitung kombiniert. Sobald ein Angreifer diesen Angriff erfolgreich durchgeführt hat, sind folgende Auswirkungen möglich:

• Vollständige Kompromittierung der Domäne
• Durch den Missbrauch von RBCD (Resource-Based Constrained Delegation) und die Weiterleitung von NTLM-Anmeldedaten an Domänencontroller können Angreifer privilegierte Konten (z. B. Domänenadministratoren) imitieren. Dies ermöglicht die vollständige Kontrolle über die Active Directory-Umgebung.
• Diebstahl von Anmeldedaten
• Angreifer können NTLM-Hashes, Kerberos-Tickets und in einigen Fällen sogar Klartext-Passwörter erfassen. Diese Anmeldedaten können für laterale Bewegungen wiederverwendet oder in Untergrundforen verkauft werden.
• Laterale Bewegung
• Mit gültigen Anmeldedaten können Angreifer sich im Netzwerk bewegen und auf Dateifreigaben, Mailserver und kritische Infrastruktur zugreifen. Auf diese Weise können sie Malware oder Ransomware verbreiten.
• Persistenz
• Kompromittierte Maschinenkonten oder neu erstellte Rogue-Konten können in der Domäne belassen werden, sodass Angreifer auch dann langfristigen Zugriff haben, wenn die ursprünglichen Einstiegspunkte entdeckt und entfernt wurden.
• Dienstunterbrechung
• Da DNS während des Angriffs vergiftet wird, können legitime Dienste unterbrochen oder umgeleitet werden, was zu Ausfällen oder Leistungseinbußen für Endbenutzer führt.
• Datenexfiltration
• Mit Zugriff auf sensible Konten und Systeme können Angreifer proprietäre Daten, geistiges Eigentum oder persönliche Informationen extrahieren, was zu Datenverletzungen und Compliance-Verstößen führt.
• Reputations- und finanzieller Schaden
• Ein erfolgreicher Angriff kann zu behördlichen Geldstrafen, Verlust des Kundenvertrauens und kostspieligen Maßnahmen zur Reaktion auf Vorfälle und zur Wiederherstellung führen.

Empfehlungen und Korrekturen

Da der MITM6 + NTLM-Relay-Angriff das Standardverhalten von Windows und Active Directory ausnutzt, erfordert die Abwehr eine Kombination aus Netzwerkhärtung und Änderungen an der Active Directory-Konfiguration.

Abwehrmaßnahmen auf Netzwerkebene

• IPv6 deaktivieren, wenn nicht verwendet
• Wenn Ihre Umgebung IPv6 nicht benötigt, deaktivieren Sie es auf allen Endpunkten und Servern, um zu verhindern, dass unerwünschte DHCPv6-Anzeigen verarbeitet werden.
• DHCPv6 und Router-Anzeigen blockieren
• Verwenden Sie Switches und Router mit RA Guard/DHCPv6 Guard, um nicht autorisierte IPv6-Anzeigen und unerwünschte DHCP-Server im Netzwerk zu blockieren.
• Netzwerkverkehr segmentieren
• Begrenzen Sie die Broadcast-/Multicast-Exposition von Endpunkten, indem Sie Benutzer, Server und Domänencontroller in separate VLANs segmentieren.

Authentifizierung

• SMB-Signierung und LDAP-Signierung erzwingen
• Verlangen Sie eine Signierung für SMB- und LDAP-Datenverkehr, um NTLM-Relay-Angriffe zu verhindern.
• NTLM wo möglich deaktivieren
• Migrieren Sie, wo möglich, zu einer reinen Kerberos-Authentifizierung. Wenn NTLM erforderlich ist, beschränken Sie die Server, die NTLM-Authentifizierung akzeptieren dürfen.
• Erweiterten Schutz für die Authentifizierung (EPA) aktivieren
• Fügt Authentifizierungsanfragen Channel-Binding-Tokens hinzu, wodurch Relay-Angriffe erschwert werden.

Active Directory-Konfiguration

• ms-DS-MachineAccountQuota = 0 festlegen
• Verhindert, dass Benutzer mit geringen Berechtigungen neue Computerkonten in der Domäne erstellen.
• RBCD-Nutzung überwachen und einschränken
• Überwachen und beschränken Sie, wer die ressourcenbasierte eingeschränkte Delegierung (RBCD) konfigurieren kann.
• Privilegierte Konten absichern
• Stellen Sie sicher, dass Domänenadministratoren und Konten mit hohen Berechtigungen sich nicht bei nicht vertrauenswürdigen Systemen authentifizieren können.

Überwachung und Erkennung

• Erkennen Sie unerwünschte DHCPv6-Server
• Verwenden Sie IDS/IPS oder Tools wie Zeek/Suricata, um verdächtige DHCPv6-Anzeigen zu überwachen.
• Überwachen Sie die Erstellung von Konten
• Warnungen bei ungewöhnlicher Erstellung oder Änderung von Computerkonten in AD.
• Suchen Sie nach NTLM-Relay-Indikatoren
• Verfolgen Sie fehlgeschlagene Authentifizierungen, Proxy-Authentifizierungsversuche und ungewöhnliche LDAP-Anfragen.

Fazit von Resecurity

Der Angriff mit MITM6 und NTLM-Relay zeigt exemplarisch, wie scheinbar unbedeutende Standardeinstellungen zu einer kompletten Kompromittierung von Active Directory führen können. Auch wenn IPv6 in vielen Netzwerken nicht aktiv genutzt wird, macht seine standardmäßige Aktivierung und höhere Priorität in Windows-Systemen Unternehmensumgebungen angreifbar.

Durch das Zusammenspiel von gefälschten DHCPv6-Antworten, DNS-Poisoning, WPAD-Missbrauch und NTLM-Relay können Angreifer innerhalb kürzester Zeit von einem unprivilegierten Zugang bis hin zur vollständigen Domänenkontrolle eskalieren.

Die zentrale Botschaft: Sicherheit bedeutet nicht nur, bekannte Schwachstellen zu patchen. Ebenso wichtig ist es, Standardeinstellungen zu härten, ungenutzte Protokolle wie IPv6 konsequent zu deaktivieren und unnötige Vertrauensannahmen im Netzwerk zu vermeiden. Unternehmen sollten daher auf eine mehrschichtige Strategie setzen – mit klarer Reduzierung der Angriffsfläche, starker Authentifizierung sowie kontinuierlicher Überwachung auf Auffälligkeiten wie unbekannte DHCPv6-Server oder neue Maschinenkonten.

Resecurity betont: MITM6 ist nicht nur ein Werkzeug für Penetrationstester. Der Angriff ist ein Warnsignal für Verteidiger, ihre Active-Directory-Sicherheitskonfiguration grundlegend zu überprüfen.

Quellen: Cybernews / VK9 Security / Resecurity

Vielleicht spannend für Sie

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky