[English]NTLM-Relaying ist eine beliebte Angriffsmethode, die von Bedrohungsakteuren zur Kompromittierung der Identität verwendet wird. Microsoft möchte dem einen Riegel vorschieben und hat damit begonnen, Schutzmaßnahmen in Windows auszurollen, die einen besseren Schutz vor Standard-NTLM-Relay-Angriffen bieten sollen.
Anzeige
NTLM-Relay-Angriffe
NTLM-Relaying ist eine beliebte Angriffsmethode, um eine Identität zu kompromittieren bzw. zu stehlen. Für den NTLM-Relay-Angriff wird das Opfer dazu gebracht, sich an einem beliebigen Endpunkt zu authentifizieren. Die Anmeldeinformationen werden dann an die Angreifer weitergeleitet.
Durch die Weiterleitung der Anmeldeinformationen an einen anfälligen Endpunkt können sich Angreifer authentifizieren und Aktionen im Namen des Opfers durchführen. Dies verschafft Angreifern eine Ausgangsbasis für die weitere Kompromittierung einer Domäne.
Microsoft erschwert NTLM-Relay-Angriffe
Um die Ausnutzung von Schwachstellen wie Relaying-Angriffe zu stoppen, ist es erforderlich, die anfälligen Dienste standardmäßig ganzheitlich anzugehen. Hier kommen EPA oder andere Kanalbindungsmechanismen ins Spiel. Diese stellen sicher, dass sich Clients nur bei dem für sie vorgesehenen Server authentifizieren können.
Anzeige
Microsoft hat den Artikel Mitigating NTLM Relay Attacks by Default veröffentlicht und beschreibt, was man in Produkten tut, um Systeme vor NTLM Relay-Angriffen zu schützten.
Im Februar 2024 wurde ein Update für Exchange Server veröffentlicht, das mit Extended Protection for Authentication einen erweiterten Schutz für die Authentifizierung (EPA) für neue und bestehende Installationen von Exchange 2019 aktiviert. Damit reagierte Microsoft auf die Schwachstelle CVE-2024-21410.
Mit Windows Server 2025 steht eine ähnliche Sicherheitsverbesserung für Azure Directory Certificate Services (AD CS) bereit. Auch dort ist EPA standardmäßig aktiviert. Darüber hinaus ist in der gleichen Version von Windows Server 2025 für LDAP nun standardmäßig die Kanalbindung aktiviert. Durch diese Sicherheitsverbesserungen wird das Risiko von NTLM-Relaying-Angriffen standardmäßig für drei On-Premises-Dienste gemindert: Exchange Server, Active Directory Certificate Services (AD CS) und LDAP. Details lassen sich im Artikel Mitigating NTLM Relay Attacks by Default nachlesen. Bei heise gibt es diesen Beitrag mit einigen weiteren Informationen.
Anzeige
Das sind noch die letzten Zuckungen, um NTLM zu härten.
NTLMv1 ist standardmäßig schon in Win 11 24H2 und Server 2025 deaktiviert und NTLM (v1, v2) allgemein wurde von Microsoft als deprecated klassifiziert und wird in einer der folgenden Windows- und Serverversionen komplett rausgekickt, d.h. nicht mehr unterstützt.
Da sind jetzt die Softwareentwickler von Drittanbietern gefragt, NTLM auch aus den eigenen Produkten rauszuwerfen.