NTLM - NT LAN Manager

Wat is NTLM?

NTLM (NT LAN Manager) is een familie van Microsoft challenge-response authenticatieprotocollen die wachtwoorden verifiëren zonder ze over de lijn te sturen. De familie bestaat uit vier versies: LM, LMv2, NTLMv1 en NTLMv2. Sinds Windows Vista (2007) is LM standaard uitgeschakeld; NTLMv2 is op moderne systemen de gangbare variant.

NTLM is geen op zichzelf staand netwerkprotocol. Het zit ingebed in andere protocollen zoals SMB, HTTP, MSRPC en LDAP. Een SMB-client die toegang vraagt tot een fileshare wisselt drie NTLM-berichten uit met de server: Negotiate, Challenge en Authenticate. Diezelfde berichten kunnen ook in een HTTP-header zitten wanneer een interne webserver NTLM-authenticatie ondersteunt.

Microsoft heeft NTLM in juni 2024 formeel als deprecated bestempeld. Het krijgt geen functionele updates meer en wordt vanaf Windows 11 24H2 en Server 2025 stapsgewijs uitgeschakeld. Kerberos is in Active Directory omgevingen al sinds 2000 de standaard, maar NTLM blijft in de praktijk hardnekkig leven door legacy-applicaties en lokale workgroup-authenticatie. Voor de officiële protocolfamilie en huidige status, zie de NTLM-overview van Microsoft.

Hoe werkt NTLM?

De NT-hash, ook wel NTLM-hash genoemd, is een MD4-hash van het wachtwoord in UTF-16LE codering. Zonder salt. Twee gebruikers met hetzelfde wachtwoord krijgen dus dezelfde hash, en dat maakt offline cracking en credential-stuffing een stuk goedkoper.

De authenticatie zelf draait in drie berichten:

1. NEGOTIATE_MESSAGE: de client meldt aan de server welke NTLM-features hij ondersteunt (versie, signing, sealing).
2. CHALLENGE_MESSAGE: de server stuurt een willekeurige 8-byte nonce terug, de “challenge”.
3. AUTHENTICATE_MESSAGE: de client berekent een response uit de challenge en zijn NT-hash en stuurt die terug. De server (of de domain controller) verifieert door dezelfde berekening uit te voeren.

De rekenfunctie verschilt per versie. NTLMv1 padt de 16-byte NT-hash met nullen tot 21 bytes, splitst die in drie 7-byte sleutels, en versleutelt met elke sleutel de 8-byte server-challenge via DES. De drie blokken worden geconcateneerd tot een 24-byte response. NTLMv2 vouwt daaroverheen een client-challenge, een timestamp en target-informatie in een “blob”, en berekent HMAC-MD5 over de server-challenge plus die blob. Dat is wat Responder afvangt en wat hashcat in modus 5600 (Net-NTLMv2 formaat: username::domain:challenge:ntlmv2-hash:blob) kraakt. Voor een volledige uitsplitsing met hex-voorbeelden, zie onze blog Verschil tussen NTLM, NTLMv2 en LM.

Voor offline cracking is NTLMv2 zwaarder dan NTLMv1, maar zonder salt blijft brute-force haalbaar. Een 8-character lowercase wachtwoord valt op een gemiddelde GPU in minuten.

De domain controller doet de verificatie via een proces dat netlogon heet. Zegt die “klopt”, dan krijgt de gebruiker zijn access token en is hij ingelogd.

Wat kan een aanvaller met NTLM bereiken?

Drie aanvalspaden komen in vrijwel elke Active Directory pentest terug.

Het eerste is Pass-the-Hash. Wie de NT-hash van een account bezit, hoeft die hash niet te kraken. De challenge-response berekening werkt direct met de hash als sleutel. Aanvallers halen hashes uit het LSASS-geheugen (via Mimikatz of NetExec) of uit de SAM-database van een gecompromitteerd werkstation. Met NetExec of psexec loggen zij daarmee op andere systemen in.

Een Net-NTLMv2 response die via Responder of een vergelijkbare tool is opgevangen, ligt anders. De server-challenge zit ingebakken in de berekening, dus dezelfde response een tweede keer afspelen mislukt zodra een echte server een nieuwe challenge uitdeelt. Dat laat twee paden over: de authenticatie real-time relayen naar een andere server, of de response offline kraken om alsnog het wachtwoord (en daarmee de bruikbare NT-hash) in handen te krijgen.

Het tweede is NTLM-relay. NTLM bewijst dat de client de juiste hash bezit, maar koppelt die authenticatie niet aan de server waarmee de client dacht te praten. Een aanvaller die zich tussen client en server positioneert kan de challenge-response berichten doorsturen naar een derde server en daarmee als die gebruiker inloggen. Responder vangt authenticatie op via LLMNR/NBT-NS poisoning, Mitm6 via DHCPv6 spoofing, en ntlmrelayx (uit Impacket) doet de relay-stap. Doelwitten zijn SMB-shares, LDAP voor objectwijzigingen, en AD CS HTTP endpoints voor certificaatuitgifte. SMB signing is de bekendste verdediging tegen relay-naar-SMB: staat het verplicht aan op de doelserver, dan moet elk pakket getekend worden met een sessiesleutel die uit de NTLM-authenticatie wordt afgeleid. De aanvaller bezit die sleutel niet, dus de relay-sessie sterft direct na de login. Voor LDAP geldt iets soortgelijks met LDAP-signing en channel binding.

Het derde is offline cracking, eventueel gecombineerd met een NTLMv1-downgrade. Een NTLMv2 challenge-response paar dat via Responder onderschept is, gaat in hashcat tegen een woordenboek of brute-force. Lukt cracken niet binnen redelijke tijd, dan probeert een aanvaller NTLMv1 af te dwingen, omdat NTLMv1-responses met DES rainbow tables in minuten volledig terug te rekenen zijn.

NTLM in een pentest

In een AD-pentest zetten wij meestal eerst een Responder-listener neer en wachten wat er binnenkomt. Een werkstation dat zoekt naar een typo-share of een verkeerd geconfigureerde printer levert binnen enkele minuten een NTLMv2-response, omdat Windows zonder verdere controle reageert op iedere host die zich als de gezochte server presenteert. Een volledige capture-en-crack-walkthrough met Responder en hashcat staat in onze blog Responder, SMB-signing en relay.

Wat daarna gebeurt hangt af van het account dat we vangen. Een gewone gebruiker met een lang wachtwoord gaat tegen hashcat aan en we wachten af. Vangen wij een service-account op, of een gebruiker waarbij de doelserver geen SMB-signing afdwingt, dan slaan wij het kraken over en relayen direct met ntlmrelayx. Op LDAP voegen wij in dat scenario een aanvaller-account toe aan een privileged groep, op SMB dumpen wij hashes uit de SAM of de NTDS van de bestemming.

Hoe voorkomt u NTLM-misbruik?

NTLM volledig verwijderen uit een gegroeide AD-omgeving is een meerjaren-traject. Microsoft levert inmiddels migratiehulp: NTLM-auditing in Windows 11 24H2 en Server 2025 toont waar NTLM nog actief is, en IAKerb maakt Kerberos-authenticatie ook mogelijk zonder line-of-sight naar de domain controller. Zie Advancing Windows security: Disabling NTLM by default voor de officiële migratie-roadmap. Tussentijds breekt u de aanvalsketen op meerdere plekken:

• Schakel LLMNR en NBT-NS uit via Group Policy. Responder verliest hiermee zijn primaire kanaal om hashes te oogsten.
• Verplicht SMB signing op alle servers en clients. NTLM-relay naar SMB werkt dan niet meer.
• Schakel LDAP signing en channel binding in op uw domain controllers. Dit blokkeert relay naar LDAP, anders een snelle weg naar AD-objectwijzigingen.
• Zet “Network security: LAN Manager authentication level” op niveau 5 (alleen NTLMv2). NTLMv1-responses zijn met rainbow tables triviaal te kraken.
• Beperk NTLM-gebruik via de “Network security: Restrict NTLM” GPO-set. Zo identificeert u welke applicaties nog van NTLM afhangen voordat u het volledig uitschakelt.
• Microsoft LAPS geeft elk systeem een uniek lokaal admin-wachtwoord. Een gestolen NTLM-hash op één machine is dan op andere systemen niet meer bruikbaar.
• Credential Guard plaatst LSASS in een geïsoleerde container, zodat tools zoals Mimikatz de NTLM-hashes uit het geheugen niet meer kunnen lezen.