Ataki NTLM Coercion: Ukryte Zagrożenie w Sieciach Windows i Jak Się Przed Nim Bronić

Utworzone przez Dawid Bakaj • poniedziałek, 09.03.2026, 08:58 • Cyberzagrożenia i ataki – analiza przypadków

Podsumowanie najważniejszych informacji:

• Ataki NTLM coercion wykorzystują zdalne wywoływanie procedur RPC do wymuszania uwierzytelnienia systemu Windows na serwerze kontrolowanym przez atakującego.
• Metoda polega na przechwytywaniu hashy NTLM, które są później używane w atakach typu relay do eskalacji uprawnień.
• Popularne techniki to PrinterBug i PetitPotam, które mają różną skuteczność i wymagania dotyczące uwierzytelnienia.
• Obrona przed tego typu atakami obejmuje wymuszanie podpisywania SMB, włączenie EPA oraz wyłączenie przestarzałego protokołu NTLM w infrastrukturze.
• Monitorowanie anomalii sieciowych, takich jak nietypowe ścieżki UNC i nietypowe wywołania RPC, jest kluczowe w identyfikacji potencjalnych prób ataku.
• Luki w zabezpieczeniach wynikają z projektowych cech protokołu NTLM oraz jego szerokiego zastosowania w korporacjach nadal używających starszych systemów.

W dzisiejszym krajobrazie cyberbezpieczeństwa, gdzie organizacje inwestują ogromne środki w zaawansowane systemy obronne, często zapomina się, że najgroźniejsze ataki mogą wykorzystywać fundamentalne, wbudowane mechanizmy systemów operacyjnych. Jednym z takich cichych, lecz niezwykle potężnych wektorów są ataki typu NTLM coercion. Pozwalają one atakującym na przejęcie kontroli nad krytycznymi zasobami sieciowymi, takimi jak kontrolery domeny, bez konieczności łamania haseł czy wykorzystywania interakcji użytkownika. Ataki te bazują na przymuszeniu systemów Windows do uwierzytelnienia się na serwerze kontrolowanym przez agresora, co otwiera drogę do przejęcia poświadczeń i dalszej eskalacji uprawnień wewnątrz organizacji. W tym artykule dogłębnie przeanalizujemy, czym są ataki NTLM coercion, jak ewoluowały na przestrzeni lat, a co najważniejsze – jak skutecznie chronić przed nimi swoją infrastrukturę.

Czym Dokładnie Są Ataki NTLM Coercion? Mechanizm Działania

Ataki NTLM coercion to zaawansowana technika, która wykorzystuje mechanizmy zdalnego wywoływania procedur (RPC) w systemach Windows do zmuszenia maszyn—w tym kluczowych zasobów, takich jak kontrolery domeny (DC) i urzędy certyfikacji (CA)—do uwierzytelnienia się na serwerze kontrolowanym przez atakującego. Celem tego manewru jest przechwycenie skrótów (hashy) NTLM, które następnie mogą być wykorzystane w atakach typu relay (przekazywanie poświadczeń) w celu uzyskania nieautoryzowanego dostępu i realizacji ruchu bocznego w sieci (źródło). Co istotne, cały proces może odbywać się bez interakcji ze strony użytkownika i często nie wymaga posiadania uprawnień administratora (źródło).

Atakujący nadużywają legalnych, wbudowanych funkcji systemu Windows, które służą do zdalnego wykonywania procedur. Wysyłając specjalnie spreparowane żądania, oszukują docelowe systemy, aby te wysłały swoje zaszyfrowane poświadczenia (zazwyczaj kont maszynowych) do złośliwego serwera nasłuchującego. Następnie te przechwycone poświadczenia są przekazywane dalej w celu eskalacji uprawnień lub wykonania krytycznych operacji, takich jak replikacja danych z kontrolera domeny za pomocą techniki DCSync (źródło).

Fundamentem tej techniki jest połączenie dwóch kluczowych elementów:

1. Wymuszenie uwierzytelnienia (Authentication Coercion): Jest to proces zmuszenia serwera do zainicjowania wychodzącego połączenia uwierzytelniającego.
2. Przekazywanie NTLM (NTLM Relay): Polega na przechwyceniu hashy NTLM z tego połączenia i przekazaniu ich do innych usług w sieci w celu uzyskania do nich dostępu w imieniu ofiary.

Kluczową rolę odgrywa tu nadużycie interfejsów RPC. Atakujący wysyłają spreparowane wywołania do różnych interfejsów, takich jak historyczny MS-RPRN (znany jako „PrinterBug”, zgłoszony w 2018 roku), MS-EFSRPC (wykorzystywany w ataku „PetitPotam”, powiązany z CVE-2021-36942, CVE-2021-36943, CVE-2022-26925), a nawet mniej znanych, jak `ElfrOpenBELW`. Wszystkie te metody mają jeden cel: skłonić system docelowy do nawiązania połączenia z serwerem atakującego (zobacz przykład).

Szczególnie niepokojący jest fakt, że wiele z tych technik działa bez potrzeby uwierzytelnienia, zwłaszcza w przypadku ataków na kontrolery domeny. Microsoft w niektórych przypadkach uznaje takie zachowanie za zgodne z projektem („by design”), co pozostawia administratorów z trudnym do załatania problemem (źródło). Podczas ataku systemy-ofiary uwierzytelniają się za pomocą protokołu NTLMv2, najczęściej przy użyciu kont maszynowych. Przechwycone hashe są następnie przekazywane do usług takich jak LDAP, SMB czy urzędy certyfikacji, co pozwala ominąć niektóre zabezpieczenia poprzez sprytne manipulowanie połączeniami lokalnymi i zdalnymi (więcej informacji).

Ewolucja Zagrożenia: Od PrinterBug do Zaawansowanych Technik 2025

Ataki NTLM coercion nie są nowym zjawiskiem, ale ich techniki i skuteczność stale ewoluują. Zrozumienie tej ewolucji jest kluczowe dla budowania skutecznej obrony.

2018: Narodziny PrinterBug (MS-RPRN)

Wszystko zaczęło się na dobre w 2018 roku, kiedy ujawniono lukę znaną jako „PrinterBug”. Wykorzystywała ona interfejs RPC `MS-RPRN` (RpcRemoteFindFirstPrinterChangeNotificationEx) w usłudze Bufor wydruku (Print Spooler). Atakujący, który posiadał jakiekolwiek uwierzytelnione konto w domenie, mógł zmusić dowolny serwer z włączoną usługą bufora wydruku do uwierzytelnienia się na wybranym przez siebie adresie IP. Ponieważ usługa ta działa z uprawnieniami SYSTEM, przechwycone poświadczenia należały do konta maszynowego serwera, co stanowiło ogromne zagrożenie, zwłaszcza gdy celem był kontroler domeny.

2021: Przełom z PetitPotam (MS-EFSRPC)

Rok 2021 przyniósł znaczącą eskalację zagrożenia wraz z pojawieniem się narzędzia i techniki o nazwie PetitPotam. Atak ten wykorzystywał interfejs `MS-EFSRPC` (Encrypting File System Remote Protocol) i, co najważniejsze, w swoich wariantach (CVE-2021-36943, CVE-2022-26925) nie wymagał żadnego uwierzytelnienia. Oznaczało to, że każdy komputer w sieci mógł zmusić kontroler domeny do zainicjowania połączenia uwierzytelniającego. Domyślna konfiguracja kontrolerów domeny czyniła je podatnymi na ten atak, co stanowiło krytyczną lukę w zabezpieczeniach Active Directory.

Trendy na rok 2025 i później: Kombinacje i nowe wektory

Obecnie obserwujemy dalszy rozwój tych technik, które stają się coraz bardziej złożone i trudniejsze do wykrycia. Najnowsze trendy łączą różne metody w celu osiągnięcia jeszcze większej skuteczności:

• DNS Poisoning + NTLM Relay + RPC Coercion: Ta kombinacja pozwala na zdalne wykonanie kodu (RCE) i eskalację uprawnień na klientach SMB w systemie Windows 11. Atakujący zatruwa pamięć podręczną DNS, aby przekierować ruch sieciowy na swój serwer, a następnie używa technik coercion (np. przez MS-RPRN) do przechwycenia i przekazania poświadczeń, co finalnie prowadzi do przejęcia kontroli nad stacją roboczą. Narzędzia takie jak `impacket-ntlmrelayx` udostępniają gotowe implementacje tego scenariusza.
• Obejście uwierzytelniania LDAP (CVE-2025-54918): Nowsze luki, takie jak ta, łączą wymuszenie uwierzytelnienia z przekazywaniem NTLM w celu ominięcia zabezpieczeń serwerów LDAP.
• Lokalne sztuczki z tokenami: W 2025 roku zidentyfikowano również techniki, które wykorzystują nakładanie się nazw hostów DNS, aby ominąć mechanizmy challenge-response w protokole NTLM, co ułatwia ataki typu relay.

Poniższa tabela podsumowuje kluczowe techniki i ich charakterystykę:

Ataki NTLM Coercion w Praktyce: Przykłady z Prawdziwego Świata

Aby w pełni zrozumieć powagę zagrożenia, warto przeanalizować scenariusze ataków zaobserwowane w rzeczywistych incydentach.

Scenariusz 1: Atak na Urząd Certyfikacji (AD CS)
W jednym z udokumentowanych przypadków atakujący, po uzyskaniu dostępu do wewnętrznego hosta w sieci, rozpoczął próbę wymuszenia uwierzytelnienia od serwerów RADIUS, kontrolerów domeny oraz serwerów Citrix na zewnętrzny, kontrolowany przez siebie adres IP. Po kilku nieudanych próbach przekazania poświadczeń, atakującemu udało się przechwycić hashe NTLM należące do serwera Citrix oraz kontrolera domeny tylko do odczytu (RODC). Następnie te poświadczenia zostały z powodzeniem przekazane do serwera usług certyfikatów Active Directory (AD CS). Uzyskanie w ten sposób dostępu do urzędu certyfikacji pozwoliło atakującemu na wygenerowanie certyfikatów dla innych kont, a w konsekwencji na próbę wykonania ataku DCSync w celu zreplikowania całej bazy danych Active Directory.

Scenariusz 2: Zmasowane próby i rekonesans
Inny zaobserwowany wzorzec ataku polegał na tym, że atakujący z jednego adresu IP wysyłał wywołania RPC do ponad dziesięciu różnych zasobów w sieci. Wiele z tych prób kończyło się niepowodzeniem uwierzytelnienia NTLM. Jednak po serii nieudanych prób, atakujący w końcu zdołał przechwycić i z powodzeniem przekazać dalej hashe kontrolera domeny, co otworzyło mu drogę do dalszych działań.

Scenariusz 3: Łączenie starego z nowym
W 2025 roku zaobserwowano ataki, w których cyberprzestępcy łączyli starą technikę PrinterBug z nowo odkrytą podatnością CVE-2025-54918. Taka kombinacja pozwalała na wymuszenie uwierzytelnienia od kontrolera domeny i przekazanie go dalej, nawet jeśli w sieci wdrożono niektóre podstawowe środki zaradcze. To pokazuje, że atakujący są kreatywni i stale adaptują swoje metody.

Jak Wykryć Ataki NTLM Coercion? Kluczowe Wskaźniki Kompromitacji

Wczesne wykrycie tych ataków jest niezwykle trudne, ponieważ bazują one na legalnym ruchu sieciowym. Istnieją jednak pewne anomalie i wskaźniki (IoC), na które zespoły bezpieczeństwa powinny zwracać szczególną uwagę:

• Nietypowe ścieżki UNC: Monitorowanie prób dostępu do nietypowych lub nieistniejących ścieżek UNC (`\\attacker-ip\share`), zwłaszcza inicjowanych przez konta systemowe.
• Rzadkie wywołania RPC: Analiza ruchu RPC pod kątem rzadko używanych identyfikatorów GUID interfejsów lub numerów operacji (opnums), zwłaszcza tych powiązanych z MS-RPRN czy MS-EFSRPC.
• Wychodzące uwierzytelnienia do nieznanych adresów IP: Śledzenie ruchu uwierzytelniającego (np. przez protokoły SMB, LDAP) z krytycznych serwerów do nieznanych lub zewnętrznych adresów IP jest kluczowym wskaźnikiem.
• Wiele nieudanych prób uwierzytelnienia NTLM: Nagły wzrost liczby nieudanych prób logowania NTLM inicjowanych przez RPC z jednego źródłowego adresu IP może wskazywać na próbę ataku.
• Analiza behawioralna: Nowoczesne systemy EDR/XDR, takie jak Cortex XDR/XSIAM, mogą wykrywać odchylenia od normalnego zachowania maszyn, co jest jednym z najskuteczniejszych sposobów na zidentyfikowanie tego typu subtelnych ataków.

Strategie Obronne: Kompleksowy Przewodnik po Zabezpieczeniach

Ponieważ wymuszenie uwierzytelnienia jest tylko pierwszym krokiem, a prawdziwym celem jest jego przekazanie (relay), priorytetem powinno być zablokowanie właśnie tej drugiej fazy. Poniżej przedstawiamy zestaw kluczowych zaleceń, które znacząco podniosą odporność infrastruktury na ataki NTLM coercion.

1. Wymuszaj Podpisywanie SMB (SMB Signing)
   Jest to jedno z najważniejszych zabezpieczeń. Włączenie obowiązkowego podpisywania pakietów SMB na wszystkich serwerach i stacjach roboczych kryptograficznie zabezpiecza komunikację i uniemożliwia ataki typu relay przez ten protokół. Atakujący nie będzie w stanie zmodyfikować ani przekazać dalej pakietów bez naruszenia podpisu.
2. Włącz Rozszerzoną Ochronę Uwierzytelniania (EPA)
   Extended Protection for Authentication (EPA) wiąże sesję uwierzytelniającą z kanałem TLS, co utrudnia przekazywanie poświadczeń do innych usług, takich jak AD CS czy serwery webowe. Należy włączyć EPA na wszystkich podatnych usługach.
3. Wyłącz NTLM i Przejdź na Kerberos
   Najskuteczniejszą metodą jest całkowite wyłączenie przestarzałego protokołu NTLM na rzecz znacznie bezpieczniejszego Kerberos. Chociaż może to być trudne w złożonych środowiskach z systemami legacy, powinno to być strategicznym celem każdej organizacji. Wyłączenie NTLM na kontrolerach domeny i innych krytycznych serwerach można zrealizować za pomocą polityk GPO. Microsoft dostarcza szczegółowe instrukcje, jak to zrobić bezpiecznie.
4. Utwardzanie Konfiguracji Usług (Service Hardening)
   Zasada minimalnych uprawnień dotyczy również uruchomionych usług.
   • Wyłącz usługę Bufor wydruku (Print Spooler) na wszystkich serwerach, które jej nie potrzebują, a zwłaszcza na kontrolerach domeny.
   • Wyłącz usługę File Server VSS Agent Service, jeśli nie jest używana.
   • Przejrzyj i wyłącz inne nieużywane usługi, które mogą udostępniać podatne interfejsy RPC.
5. Zastosuj Filtry RPC
   Bardziej zaawansowaną techniką jest użycie wbudowanych w Windows mechanizmów filtrowania RPC (`netsh rpc filter`), aby zablokować dostęp do określonych interfejsów (np. MS-EFSRPC) z nieautoryzowanych źródeł.
6. Zabezpiecz Usługi Certyfikatów (AD CS)
   Serwery AD CS są częstym celem ataków NTLM relay. Należy wdrożyć wszystkie zalecenia z biuletynu Microsoft KB5005413, które obejmują m.in. włączenie EPA i wymaganie podpisywania LDAP.
7. Monitoruj i Analizuj Zachowania
   Wdrożenie zaawansowanych narzędzi EDR i analizy behawioralnej jest kluczowe do wykrywania prób coercion. Monitorowanie nietypowych wywołań RPC i połączeń uwierzytelniających pozwala na szybką reakcję.

Warto pamiętać, że domyślne ustawienia zabezpieczeń różnią się w zależności od wersji systemu Windows, a aktualizacje często nie zmieniają istniejących, niezabezpieczonych konfiguracji (analiza problemu). Dlatego kluczowe jest przeprowadzanie regularnych audytów i aktywne utwardzanie systemów.

Dlaczego Te Ataki Wciąż Stanowią Problem?

Ataki NTLM coercion pozostają poważnym zagrożeniem z kilku powodów. Po pierwsze, są one zakorzenione w fundamentalnych wadach protokołu NTLM, który, mimo że jest przestarzały, wciąż jest obecny w wielu środowiskach korporacyjnych. Po drugie, ewolucja technik, takich jak łączenie coercion z zatruwaniem DNS, stale poszerza możliwości atakujących. Wreszcie, brak domyślnej, głębokiej widoczności w ruch RPC sprawia, że wiele organizacji nie jest świadomych, że takie ataki mają miejsce w ich sieciach. Skuteczna obrona wymaga nie tylko wdrożenia konkretnych poprawek, ale także fundamentalnej zmiany podejścia do bezpieczeństwa Active Directory i monitorowania ruchu wewnętrznego.

Jak Możemy Pomóc?

Zrozumienie i skuteczne łagodzenie ryzyka związanego z atakami NTLM coercion wymaga specjalistycznej wiedzy i dogłębnego doświadczenia w testowaniu bezpieczeństwa infrastruktury Windows. Identyfikacja podatnych usług, weryfikacja konfiguracji i symulacja rzeczywistych ścieżek ataku to zadania, które wykraczają poza możliwości standardowych skanerów podatności.

W VIPentest specjalizujemy się w przeprowadzaniu zaawansowanych testów penetracyjnych i audytów bezpieczeństwa Active Directory, które koncentrują się na wykrywaniu właśnie takich ukrytych zagrożeń. Nasz zespół ekspertów pomoże zidentyfikować podatności na ataki NTLM coercion w Państwa środowisku, ocenić ich realny wpływ i opracować praktyczny plan naprawczy.

Jeśli chcesz sprawdzić, czy Twoja organizacja jest odporna na te i inne zaawansowane techniki ataku, skontaktuj się z nami. Kontakt.

Checklista: Zabezpieczenia przed atakami NTLM Coercion

FAQ