Windows Server 2025 bloque le relais NTLMv1 cross-DC en forçant NTLMv2 dans msv1_0.dll
Selon un billet technique publié le 2 mars 2026, Microsoft a modifié msv1_0.dll dans Windows Server 2025 pour empêcher la génération d’NTLMv1 côté client, rendant caduque l’attaque de coercition cross-DC suivie d’un relais vers LDAPS basée sur NTLMv1 avec ESS et suppression du MIC. Rappel de l’attaque classique: un DC victime (DC2) avec LmCompatibilityLevel mal configuré (< 3) est contraint d’authentifier vers l’attaquant (ex. via DFSCoerce), qui reçoit un NTLMv1 + ESS. L’attaquant retire le MIC (–remove-mic) et relaie vers LDAPS sur un autre DC (DC1) via ntlmrelayx, permettant la modification d’attributs sensibles comme msDS-KeyCredentialLink (Shadow Credentials) ou l’ajout d’RBCD, menant à une élévation de privilèges. ...