home.social

#ntlm — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #ntlm, aggregated by home.social.

  1. Responder Tool for Network Credential Capture in Active Directory

    In this article, I cover how Responder works, common credential capture techniques, and practical mitigation strategies for defending Active Directory environments.

    denizhalil.com/2026/05/18/resp

    #CyberSecurity #ActiveDirectory #Responder #LLMNR #NTLM #CredentialCapture #RedTeam #BlueTeam #Pentesting #WindowsSecurity #InfoSec #EthicalHacking #DenizHalil

  2. Responder Tool for Network Credential Capture in Active Directory

    In this article, I cover how Responder works, common credential capture techniques, and practical mitigation strategies for defending Active Directory environments.

    denizhalil.com/2026/05/18/resp

    #CyberSecurity #ActiveDirectory #Responder #LLMNR #NTLM #CredentialCapture #RedTeam #BlueTeam #Pentesting #WindowsSecurity #InfoSec #EthicalHacking #DenizHalil

  3. Responder Tool for Network Credential Capture in Active Directory

    In this article, I cover how Responder works, common credential capture techniques, and practical mitigation strategies for defending Active Directory environments.

    denizhalil.com/2026/05/18/resp

    #CyberSecurity #ActiveDirectory #Responder #LLMNR #NTLM #CredentialCapture #RedTeam #BlueTeam #Pentesting #WindowsSecurity #InfoSec #EthicalHacking #DenizHalil

  4. Включаем EPA в FreeTDS и go-mssqldb: приключение на 5 минут

    Представьте: вы теряете контроль над SCCM — одним из самых критичных инструментов управления инфраструктурой. А точкой входа становится обычное подключение к MSSQL, где он хранит свои данные. Злоумышленник перехватывает NTLM-аутентификацию и перенаправляет её на нужный сервер — так работает NTLM relay. Мы в команде Security Engineering решили не ждать эксплуатации этой уязвимости. Меня зовут Булат Гафуров, я инженер по информационной безопасности в Яндексе. В этой статье я расскажу, почему стандартного решения оказалось недостаточно и как мы добавили поддержку механизма EPA в популярные библиотеки, чтобы переключить защиту на стороне MSSQL в режим Require, не лишив Linux- и Windows-сервисы доступа к данным.

    habr.com/ru/companies/yandex/a

    #windows #security #ntlm_relay #ntlm #ntlmrelay #epa #mssql #mssqlserver #microsoft #freetds

  5. Включаем EPA в FreeTDS и go-mssqldb: приключение на 5 минут

    Представьте: вы теряете контроль над SCCM — одним из самых критичных инструментов управления инфраструктурой. А точкой входа становится обычное подключение к MSSQL, где он хранит свои данные. Злоумышленник перехватывает NTLM-аутентификацию и перенаправляет её на нужный сервер — так работает NTLM relay. Мы в команде Security Engineering решили не ждать эксплуатации этой уязвимости. Меня зовут Булат Гафуров, я инженер по информационной безопасности в Яндексе. В этой статье я расскажу, почему стандартного решения оказалось недостаточно и как мы добавили поддержку механизма EPA в популярные библиотеки, чтобы переключить защиту на стороне MSSQL в режим Require, не лишив Linux- и Windows-сервисы доступа к данным.

    habr.com/ru/companies/yandex/a

    #windows #security #ntlm_relay #ntlm #ntlmrelay #epa #mssql #mssqlserver #microsoft #freetds

  6. Включаем EPA в FreeTDS и go-mssqldb: приключение на 5 минут

    Представьте: вы теряете контроль над SCCM — одним из самых критичных инструментов управления инфраструктурой. А точкой входа становится обычное подключение к MSSQL, где он хранит свои данные. Злоумышленник перехватывает NTLM-аутентификацию и перенаправляет её на нужный сервер — так работает NTLM relay. Мы в команде Security Engineering решили не ждать эксплуатации этой уязвимости. Меня зовут Булат Гафуров, я инженер по информационной безопасности в Яндексе. В этой статье я расскажу, почему стандартного решения оказалось недостаточно и как мы добавили поддержку механизма EPA в популярные библиотеки, чтобы переключить защиту на стороне MSSQL в режим Require, не лишив Linux- и Windows-сервисы доступа к данным.

    habr.com/ru/companies/yandex/a

    #windows #security #ntlm_relay #ntlm #ntlmrelay #epa #mssql #mssqlserver #microsoft #freetds

  7. Включаем EPA в FreeTDS и go-mssqldb: приключение на 5 минут

    Представьте: вы теряете контроль над SCCM — одним из самых критичных инструментов управления инфраструктурой. А точкой входа становится обычное подключение к MSSQL, где он хранит свои данные. Злоумышленник перехватывает NTLM-аутентификацию и перенаправляет её на нужный сервер — так работает NTLM relay. Мы в команде Security Engineering решили не ждать эксплуатации этой уязвимости. Меня зовут Булат Гафуров, я инженер по информационной безопасности в Яндексе. В этой статье я расскажу, почему стандартного решения оказалось недостаточно и как мы добавили поддержку механизма EPA в популярные библиотеки, чтобы переключить защиту на стороне MSSQL в режим Require, не лишив Linux- и Windows-сервисы доступа к данным.

    habr.com/ru/companies/yandex/a

    #windows #security #ntlm_relay #ntlm #ntlmrelay #epa #mssql #mssqlserver #microsoft #freetds

  8. ----------------

    🔎 AI: Integrating LLMs into Offensive Security Workflows

    Summary

    This blog outlines practical integration of large language models into offensive security engagements. Authors describe improving public proof‑of‑concept Model Context Protocol (MCP) servers for BloodHound and Burp Suite to support real‑world testing, and present LLM CLI usage patterns that enable agentic execution across reconnaissance, data enrichment, attack chaining, and reporting.

    Technical specifics
    • MCP servers: Existing MCP server projects for BloodHound and Burp Suite were adapted to work in offensive engagements, enabling LLMs to fetch, query, and reason over structured data such as Active Directory graphs and proxied web traffic.
    • LLM CLI agents: Modern CLIs (examples cited include Gemini CLI, Claude Code, and OpenAI’s Codex) shift models from single‑shot responders to autonomous operators capable of chaining actions: run a tool, parse output, decide next steps, and continue until objectives are met.
    • Example capabilities: An LLM connected to an AD graph via a MCP server can rapidly enumerate privilege escalation paths that would otherwise require hours of manual review. When paired with Burp Suite MCP, LLMs can correlate requests/responses across sessions to accelerate vulnerability triage. The authors also describe an NTLM relaying Gemini extension that demonstrates chaining of attack steps.

    Operational characteristics
    • Scope of access: An LLM CLI can operate on any tool or artifact the host environment exposes—OS utilities, custom scripts, open‑source offensive tooling, and locally hosted services—then interpret outputs to guide successive actions.
    • Agentic execution model: Gemini’s agentic design emphasizes iterative, feedback‑driven workflows where the model determines subsequent commands based on intermediate results rather than relying on a single prompt.

    What was demonstrated
    • Improved MCP integrations for BloodHound and Burp Suite adapted from public proof‑of‑concept servers.
    • A proof‑of‑concept Gemini extension automating NTLM relay orchestration.
    • Use cases spanning AD privilege path identification, web traffic correlation, automated triage, and multi‑step attack choreography.

    Limitations & considerations (as presented)
    • The writeup focuses on capabilities and demonstrated integrations; implementation specifics and environmental constraints are described at a conceptual level. The examples show how LLMs can reduce manual effort and expand coverage when granted appropriate tool access.

    🔹 llm #mcp #bloodhound #burpsuite #ntlm

    🔗 Source: armadin.com/blog-posts/automat

  9. NTLM relay attacks haven't died. They evolved.

    Abusing SamrSetInformationUser in AD lets attackers set empty passwords on accounts without triggering standard password change alerts. Classic protocol weakness, new exploitation path.

    The attack surface doesn't shrink when protocols are deprecated. It shifts to adjacent trust relationships.

    #InfoSec #ActiveDirectory #CyberSecurity #NTLM

  10. Problemy NTLM: drugie starcie. Wymuszenie uwierzytelnienia NTLM

    Wstęp W poprzednim artykule poświęconym NTLM, rozebraliśmy na czynniki pierwsze podstawowe pojęcia: czym jest NetNTLM a czym hash NT, jak można przeprowadzić ataki polegające na przechwyceniu challenge NetNTLM  oraz na czym polegają podatności typu relay.   Jeżeli powyższe pojęcia nie są dla Ciebie zrozumiałe, to przed przystąpieniem do dalszej lektury, koniecznie...

    #Aktualności #Teksty #ActiveDirectory #Coercion #Kerberos #Ntlm #Windows

    sekurak.pl/problemy-ntlm-drugi

  11. Podstawowe problemy bezpieczeństwa NTLM

    W świecie nowoczesnych technologii chmurowych, uwierzytelniania wieloskładnikowego i architektury Zero Trust, łatwo zapomnieć o fundamentach, na których wciąż stoi większość firmowych sieci wewnętrznych. Mowa o środowiskach Active Directory i protokołach, które pamiętają czasy Windows NT. Jednym z takich reliktów, który pozostaje jednym z najpopularniejszych wektorów ataku podczas wewnętrznych testów penetracyjnych,...

    #Aktualności #Teksty #Ntlm #Windows #Winrm

    sekurak.pl/podstawowe-problemy

  12. NTLM для хакера. Подробное описание работы и безопасности протокола

    Привет, мир! Недавно я решил пополнить свои знания протоколов NTLM'ом; и, к большому сожалению, стоящих материалов, которые бы подробно и полно описывали работу NTLM, я не нашел (есть лишь пара годных статей на английском языке, но и они, на мой взгляд, не дают нужного уровня глубины). Потому я решил написать статью, которая бы в подробностях рассказала о том, как работает данный протокол и удовлетворила даже самого душного нерда, каким автор и является))) Изучить матчасть

    habr.com/ru/articles/993934/

    #NTLM #ntlmrelay #безопасность #сетевая_безопасность #администрирование_сетей #сетевые_протоколы #аутентификация #информационная_безопасность

  13. Kerberos zastąpi NTLM w najnowszych systemach Windows. Jak się przygotować?

    Już od dawna panuje przekonanie,To już ponad 30 lat, odkąd Microsoft wprowadził protokół NTLM (New Technology LAN Manager) służący do uwierzytelniania użytkowników w systemach Windows. I choć nadal cieszy się on dużą popularnością (nawet w najnowszych wersjach systemów Windows spotkamy ten mechanizm uwierzytelnienia) to zdaje się, że jego dni zostały...

    #WBiegu #Kerberos #Microsoft #Ntlm #Windows

    sekurak.pl/kerberos-zastapi-nt

  14. #Microsoft deaktiviert das 30 Jahre alte Authentifizierungsprotokoll #NTLM in künftigen Windows-Versionen. Ab 2026 wird es standardmäßig blockiert - Kerberos übernimmt endgültig. winfuture.de/news,156533.html?

  15. Kerberos: атакуем трехголового пса

    На сегодняшний день Active Direvtory является неотъемлемой частью функционирования любой корпоративной сети под управлением Windows. Протокол Kerberos используется в инфраструктуре Active Directory (AD) для аутентификации пользователей и сервисов. В этой статье мы поговорим о том, как работает этот протокол, и рассмотрим типовые атаки на него.

    habr.com/ru/companies/otus/art

    #пентест #activedirectory #ntlm #Kerberos #Аутентификация #уязвимости #KDC #Атаки_на_инфраструктуру

  16. Guten Morgen, ich war heute Nacht fleissig: Warum jedes Windows AD offline gehört, ein Deep-Dive für den Sonntag, viel Spaß!

    blog.jakobs.systems/blog/20251

    #Windows #AD #Security #NTLM #BestPractise #Ransomware #Cyber

  17. Сдвиг парадигмы в безопасности серверов: как мы пережили Windows Server 2025 и сделали инфраструктуру крепче

    Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности : клиент Windows Server 2025 уже требует подпись SMB-пакетов . Всё, что не умеет — идёт мимо кассы. В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения. Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет . Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт .

    habr.com/ru/articles/948976/

    #windows_server_2025 #active_directory #SMB_signing #LDAP_signing #kerberos #ntlm #AD_CS #laps #credential_guard #lsass

  18. Сдвиг парадигмы в безопасности серверов: как мы пережили Windows Server 2025 и сделали инфраструктуру крепче

    Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности : клиент Windows Server 2025 уже требует подпись SMB-пакетов . Всё, что не умеет — идёт мимо кассы. В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения. Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет . Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт .

    habr.com/ru/articles/948976/

    #windows_server_2025 #active_directory #SMB_signing #LDAP_signing #kerberos #ntlm #AD_CS #laps #credential_guard #lsass

  19. Сдвиг парадигмы в безопасности серверов: как мы пережили Windows Server 2025 и сделали инфраструктуру крепче

    Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности : клиент Windows Server 2025 уже требует подпись SMB-пакетов . Всё, что не умеет — идёт мимо кассы. В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения. Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет . Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт .

    habr.com/ru/articles/948976/

    #windows_server_2025 #active_directory #SMB_signing #LDAP_signing #kerberos #ntlm #AD_CS #laps #credential_guard #lsass

  20. Сдвиг парадигмы в безопасности серверов: как мы пережили Windows Server 2025 и сделали инфраструктуру крепче

    Мы поймали странный «обрыв» доступа к нескольким NAS и старому принтер-серверу. В логе — ничего драматического: «не получилось договориться по безопасности». Виноват оказался не «прокси/файрвол», а новая норма безопасности : клиент Windows Server 2025 уже требует подпись SMB-пакетов . Всё, что не умеет — идёт мимо кассы. В тот же месяц у коллег «ложилась» интеграция, ретранслирующая NTLM на LDAP, — и снова не сеть виновата. LDAP-подпись и привязка канала (channel binding) перестали считать ретрансляцию чем-то приемлемым. Зато после шторма заметно стихло количество «подозрительных» попыток бокового смещения. Мораль простая: реактивная модель «ставим патчи и надеемся» больше не тянет . Нужен проактивный дизайн — с нормами безопасности, которые не нужно «включать по желанию», а которые уже встроены в дефолт .

    habr.com/ru/articles/948976/

    #windows_server_2025 #active_directory #SMB_signing #LDAP_signing #kerberos #ntlm #AD_CS #laps #credential_guard #lsass

  21. 🚨 𝗧𝗵𝗲 𝗡𝗧𝗟𝗠 𝗥𝗲𝗹𝗮𝘆 𝗔𝘁𝘁𝗮𝗰𝗸 is a technique that exploits the NTLM protocol to capture sensitive information. An attacker sends a phishing email with an HTML attachment (or a ZIP archive containing it); once opened, the system initiates an SMB connection to a server controlled by the attacker, exposing the victim’s IP address, NTLM challenge, username, and hostname.

    🎯 Save this post to keep it handy!

    🔗 8bitsecurity.com/

    #cybersecurity #hacking #threatintelligence #ntlm