Google Tochter Mandiant versetzt dem NTLMv1-Protokoll den sicherheitstechnischen Todesstoß. Dieses veraltete Protokoll ist seit Ende der 1990er Jahre unsicher, und ermöglicht Angreifern, Passwort-Hashes innerhalb weniger Stunden zu knacken und ihre Berechtigungen zu erweitern. Mandiant hat nun einen umfassenden Datensatz mit Net-NTLMv1-Rainbow-Tabellen veröffentlicht, um die Dringlichkeit einer Migration weg von diesem veralteten Protokoll zu unterstreichen. Die Tabellen ermöglichen es, die Kommunikation mit wenig Aufwand binnen 12 Stunden zu entschlüsseln.
Ich bin bereits vor Tagen auf nachfolgenden Post eines Sicherheitsexperten gestoßen, der auf diesen Umstand hinweist.
Mandiant hat das Ganze im Beitrag Closing the Door on Net-NTLMv1: Releasing Rainbow Tables to Accelerate Protocol Deprecation zum 15. Januar 2025 öffentlich gemacht und schreibt, dass Net-NTLMv1 seit über zwei Jahrzehnten veraltet sei und als unsicher gelte. Die Kryptoanalyse des Protokolls reicht bis ins Jahr 1999 zurück. Trotzdem stellen die Sicherheitsspezialisten von Mandiant weiterhin fest, dass Net-NTLMv1 weiterhin in aktiven Umgebungen verwendet wird.
Mandiant argumentiert – wie viele andere Firmen, auch Microsoft, dass dieses veraltete Netzwerkprotokoll Unternehmen anfällig für den Diebstahl von Anmeldedaten macht. Die Mandiant-Sicherheitsexperten sehen aufgrund von Trägheit und einem Mangel an nachweisbaren unmittelbaren Risiken, dass das Protokoll nicht ausgemustert wird und nach wie vor weit verbreitet ist.
Um die Tür zur Verwendung von Net-NTLMv1 in Netzwerken zu schließen, habe man sich zur Veröffentlichung von Rainbow Tables zur Beschleunigung der Protokollabschaffung entschieden. Der veröffentlichte, umfassende Datensatz mit Net-NTLMv1-Rainbow-Tabellen, soll die Dringlichkeit einer Migration weg von diesem veralteten Protokoll unterstreichen.
Mit der Veröffentlichung dieser Tabellen möchte Mandiant Sicherheitsfachleuten den Nachweis der Unsicherheit von Net-NTLMv1 erleichtern. Es gebe zwar schon seit Jahren Tools, mit denen dieses Protokoll ausgenutzt werden kann, schreiben die Mandiant-Leute. Doch diese Tools erforderten diese oft das Hochladen sensibler Daten auf Dienste von Drittanbietern oder teure Hardware, um Schlüssel mit Brute-Force-Angriffen zu knacken.
Die Veröffentlichung dieses Datensatzes ermöglicht es Sicherheitsexperten und Forschern, Schlüssel, die über Net-NTLMv1 im Netzwerk verschickt werden, in weniger als 12 Stunden mit Verbraucherhardware im Wert von weniger als 600 US-Dollar wiederherzustellen. Die Details lassen sich dem Beitrag Closing the Door on Net-NTLMv1: Releasing Rainbow Tables to Accelerate Protocol Deprecation entnehmen. Ergänzung: heise hat in diesem Artikel diesen Move von Mandiant kommentiert und schreibt von einem Todesstoß für NTLMv1. Wie ist die Situation in eurer Umgebung? Ist die inzwischen frei von Systemen mit NTLMv1?
Ähnliche Artikel:
Windows 11 24H2/Server 2025: NTLMv1 wurde entfernt
Windows 11: Microsofts Credential Guard leakt Credentials, kein Fix geplant
Windows: NTLM und Driver Verifier GUI als veraltet (deprecated) erklärt
MVP: 2013 – 2016
NTLMv1 kann man normalerweise schon seit vielen Jahren abschalten. NTLMv2 kommt leider noch vor, vor allem in gemischten Umgebungen. Da macht das "sichere" Linux bzw. darauf basierte Appliances Windows unsicherer.
Linux kann natürlich auch Kerberos als Domainmember. Das Problem hier ist dann doch Windows, das ohne Domain eben nur ntlm kann, egal ob windows oder linux server.
Ohne Domain ist egal, da ist für einen Angreifer meistens nichts zu holen. Es gibt tatsächlich bei *nix basierten Appliances usw. so einiges was immer noch ntlmv2 verwendet. Hatte ich vor einiger Zeit mal in einer Situation, da wurde Freeradius als Anmeldeproxy für interne Systemne verwendet und der hat fleißig NTLM mit den DCs gesprochen, eine Umstellung auf Kerberos funktionierte nicht. Hab denen dann NPS als Radius-Dienst auf zwei ro-DCs akiviert und der Freeradius konnte gehen.
NTLM, sowohl v1 als auch v2 sind hier schon seit Jahren abgeschaltet.
Seit dem heißt es: Kerberos only.
Windows unterstützt Kerberos seit Windows 2000.
Selbst so alte Software wie z.B. Outlook 2010 hat keine Probleme mit Kerberos.
Entsprechende Registry-Keys setzen, um das NTLM-Logging zu aktivieren, dann die Ereignisanzeige auf den DCs anschauen, ob da noch NTLM-Ereignisse protokolliert werden.
Wenn da über ein paar Wochen keine NTLM-Ereignisse mehr protokolliert werden, kann man NTLM problemlos abschalten, da es nicht mehr verwendet wird.
Und im AD schauen, welche Verschlüsselung bei Kerberos bei den Objekten benutzt wird.
Die unsicheren Verfahren DES, 3DES und RC4 sollten auf AES umgestellt werden.
Naja ich begrüße das Vorgehen durchaus… manche wachen sonst nie aus ihrem Dornrößchenschlaf auf. Aber wir kennen hier in D zumindest auch den Straftatbestand zur Beihilfe!
Wird da einer mit ner potenten Kriegskasse geschädigt… könnte das nach hinten losgehen.
Außerdem ist D ja bekannt dafür gerne den "Überbringer" zu hängen.
Fragt einfach mal die ganzen Sicherheitsforscher ;-P die das schon zu spüren kriegten.
Man stelle sich vor, MS würde die Sicherheitslücken in älteren Windows-Versionen nicht mehr patchen, sondern veröffentlichen, um den Umstieg auf Windows 11 zu beschleunigen. Alles nur gut gemeint und zum Besten der User.
Ich sehe so ein Vorgehen als Nötigung. Aber das wird ja jetzt in MAGAland gängige Praxis – da könnte noch mehr in der Art kommen.
Deine Aussage verstehe ich in diesem konkreten Kontext nicht.
1) Dass NTLM unsicher ist, ist schon sehr lange bekannt und wird auch immer wieder aktiv für Angriffe genutzt.
2) Die Rainbow Tabelle gab es wohl auch bisher schon, nur nicht so öffentlich. Die Leute die Angriffe fahren, kennen sie schon lange. Die Veröffentlichung macht also nur symbolisch Druck.
3) Microsoft weiß von der Sicherheitslücke schon lange und hat bisher zu wenig unternommen, um den Druck zu erhöhen. Es gibt sicherlich einige unbequeme Lösungen, z.B. durch eigene, abgeschottete Netze für NTLM abhängige Geräte. Ich gehe davon aus, dass vielen Kollegen das Problem bewusst ist, aber sie keine Ressourcen frei gegeben bekommen, solange die Not nicht zu groß ist.
ist ntlmv1 nicht bei windows 11 ab 24h2 und server 2025 sowieso raus?
ja, das ist korrekt. MS macht langsam Druck. Das Abdrehen von v1 ist ja mit hoher Wahrscheinlichkeit problemlos. Schwieriger wird es, wenn man NTLM komplett loswerden will.
So lange es nur NTLMv1 ist…
NTLMv2 hätte ich ja auch gerne, da sehe ich die Verantwortung aber eher bei den Enterprise Applikationen, weshalb eine Umstellung auf Kerberos only meistens scheitert.
Immerhin die Einbindung von AD based Kerberos auf den Linux Servern funktioniert relativ gut.
Es ist ja nicht so, dass NTLMv1 schon lange tot ist, sofern man sich die gängigen Baselines zur Härtung anschaut (und implementieren würde). Wenn man sich "glücklich schätzen darf", noch eine Applikation zu haben, die nicht ohne NTLMv1 (v2) auskommt, müsste man dort schauen, ob man die nicht "geproxied" zu den Diensten bekommt, die dort benötigt werden.
Neben bspw. den Baselines aus dem SCT von MS, veröffentlich MS durchaus selber Input zum sichereren Betrieb von MS Umgebungen. Hier wäre bspw. eine achteilige Beitragsserie zum "AD Hardening" die seit 2023 erweitert wird:
https://techcommunity.microsoft.com/tag/adhardening?nodeid=board%3acoreinfrastructureandsecurityblog
(Am Ende des Tages ist es dann aber halt wieder für viele einfacher, den Kopf in den Sand zu stecken und nichts zu machen oder ins Open Source ist sicher(er) Horn zu tuten. :))
So lange ein Dienstleister auch über die Altlasten im Netzwerk nachdenkt….. LM-Authentfizierung von Maschinensteuerungen im dedizierten Netzwerk gegenüber dem Server. Am Tag X ging nix – dank Deaktivierung der alten Protokolle. Es gibt noch viele alte Produktionsanlagen auf dieser Welt.
Isoliertes Netzwerk (idealerweise physisch isoliert) ausschließlich für die Maschinensteuerungen und ohne Zugang zum Internet und anderen Netzwerken.
Dann kann man auch dafür einen älteren Server verwenden, der noch NTLM kann.
so ist es
Dazwischen ein Linux mit smb mount vom fileserver und freigabe an die Maschine