Pesquisa da Decoder revela que o Windows Server 2025 introduz modificações ocultas aos mecanismos de autenticação da Microsoft que afetam como os ataques de relay NTLM funcionam. O estudo foca em como novas políticas e componentes atualizados de SMB, LDAP e HTTP alteraram o comportamento de ataque dentro de ambientes de domínio.

A mudança não é impulsionada por uma nova política de segurança, mas por mudanças internas no pacote de autenticação Microsoft v1 (msv1_0.dll). Este pacote agora bloqueia estritamente a geração de NTLMv1 para solicitações entre domínios, fechando efetivamente um vetor de ataque NTLM legado entre Controladores de Domínio (DCs) que era anteriormente um elemento básico em testes de penetração e red teaming.

📎 Artigo: https://decoder.cloud/2026/02/25/what-windows-server-2025-quietly-did-to-your-ntlm-relay/

💬 Discutir

Mudanças no relay NTLM no Windows Server 2025