Selon un billet technique publié le 2 mars 2026, Microsoft a modifié msv1_0.dll dans Windows Server 2025 pour empêcher la génération d’NTLMv1 côté client, rendant caduque l’attaque de coercition cross-DC suivie d’un relais vers LDAPS basée sur NTLMv1 avec ESS et suppression du MIC.

Rappel de l’attaque classique: un DC victime (DC2) avec LmCompatibilityLevel mal configuré (< 3) est contraint d’authentifier vers l’attaquant (ex. via DFSCoerce), qui reçoit un NTLMv1 + ESS. L’attaquant retire le MIC (–remove-mic) et relaie vers LDAPS sur un autre DC (DC1) via ntlmrelayx, permettant la modification d’attributs sensibles comme msDS-KeyCredentialLink (Shadow Credentials) ou l’ajout d’RBCD, menant à une élévation de privilèges.

Ce qui change dans Server 2025: le diff de msv1_0.dll révèle une logique dans MspLm20GetChallengeResponse qui fige NtLmGlobalLmProtocolSupported à un niveau forçant la génération d’NTLMv2, même si LmCompatibilityLevel est 0, 1 ou 2 dans le registre. Concrètement, un hôte Windows Server 2025 ne génère plus d’NTLMv1 en tant que client. Le défaut de NtLmGlobalLmProtocolSupported passe de 3 (Server 2022) à 4 (Server 2025). L’auteur rattache ce changement au moins à partir de la mise à jour cumulative 2024-09 (KB5043080) mentionnée.

Impact et surface restante: l’attaque de relais NTLMv1 + ESS vers LDAPS avec suppression du MIC échoue lorsque le DC contraint tourne sous Server 2025. En revanche, elle reste exploitable si le DC victime est en Server 2022 (ou antérieur) avec LmCompatibilityLevel à 0, 1 ou 2 et si le channel binding LDAPS n’est pas requis, que la cible LDAPS soit un DC Server 2022 ou 2025. L’auteur souligne que la suppression du MIC avec NTLMv1 + ESS continue de fonctionner là où NTLMv1 est encore émis.

TTPs observées:

  • Coercition d’authentification DC via DFSCoerce
  • Relais NTLM vers LDAPS avec ntlmrelayx et option –remove-mic
  • Abus de NTLMv1 + ESS pour permettre le retrait du MIC
  • Modifications d’attributs AD: msDS-KeyCredentialLink (Shadow Credentials), ajout d’RBCD

IOCs: aucun indicateur fourni.

Conclusion: article de type analyse technique visant à documenter une évolution de Windows Server 2025 qui neutralise une chaîne d’attaque de relais NTLMv1 cross-DC.

🔗 Source originale : https://decoder.cloud/2026/02/25/what-windows-server-2025-quietly-did-to-your-ntlm-relay/