[English]NTLM-Relaying ist eine beliebte Angriffsmethode, die von Bedrohungsakteuren zur Kompromittierung der Identität verwendet wird. Microsoft möchte dem einen Riegel vorschieben und hat damit begonnen, Schutzmaßnahmen in Windows auszurollen, die einen besseren Schutz vor Standard-NTLM-Relay-Angriffen bieten sollen.
Anzeige
NTLM-Relay-Angriffe
NTLM-Relaying ist eine beliebte Angriffsmethode, um eine Identität zu kompromittieren bzw. zu stehlen. Für den NTLM-Relay-Angriff wird das Opfer dazu gebracht, sich an einem beliebigen Endpunkt zu authentifizieren. Die Anmeldeinformationen werden dann an die Angreifer weitergeleitet.
Durch die Weiterleitung der Anmeldeinformationen an einen anfälligen Endpunkt können sich Angreifer authentifizieren und Aktionen im Namen des Opfers durchführen. Dies verschafft Angreifern eine Ausgangsbasis für die weitere Kompromittierung einer Domäne.
Microsoft erschwert NTLM-Relay-Angriffe
Um die Ausnutzung von Schwachstellen wie Relaying-Angriffe zu stoppen, ist es erforderlich, die anfälligen Dienste standardmäßig ganzheitlich anzugehen. Hier kommen EPA oder andere Kanalbindungsmechanismen ins Spiel. Diese stellen sicher, dass sich Clients nur bei dem für sie vorgesehenen Server authentifizieren können.
Anzeige
Microsoft hat den Artikel Mitigating NTLM Relay Attacks by Default veröffentlicht und beschreibt, was man in Produkten tut, um Systeme vor NTLM Relay-Angriffen zu schützten.
Im Februar 2024 wurde ein Update für Exchange Server veröffentlicht, das mit Extended Protection for Authentication einen erweiterten Schutz für die Authentifizierung (EPA) für neue und bestehende Installationen von Exchange 2019 aktiviert. Damit reagierte Microsoft auf die Schwachstelle CVE-2024-21410.
Mit Windows Server 2025 steht eine ähnliche Sicherheitsverbesserung für Azure Directory Certificate Services (AD CS) bereit. Auch dort ist EPA standardmäßig aktiviert. Darüber hinaus ist in der gleichen Version von Windows Server 2025 für LDAP nun standardmäßig die Kanalbindung aktiviert. Durch diese Sicherheitsverbesserungen wird das Risiko von NTLM-Relaying-Angriffen standardmäßig für drei On-Premises-Dienste gemindert: Exchange Server, Active Directory Certificate Services (AD CS) und LDAP. Details lassen sich im Artikel Mitigating NTLM Relay Attacks by Default nachlesen. Bei heise gibt es diesen Beitrag mit einigen weiteren Informationen.
Anzeige
Das sind noch die letzten Zuckungen, um NTLM zu härten.
NTLMv1 ist standardmäßig schon in Win 11 24H2 und Server 2025 deaktiviert und NTLM (v1, v2) allgemein wurde von Microsoft als deprecated klassifiziert und wird in einer der folgenden Windows- und Serverversionen komplett rausgekickt, d.h. nicht mehr unterstützt.
Da sind jetzt die Softwareentwickler von Drittanbietern gefragt, NTLM auch aus den eigenen Produkten rauszuwerfen.
Auch Microsoft selbst ist gefordert, aber auch Admins und so weiter. Kerberos, so schön es auch ist, wird nämlich mit NTLM als Fallback "umgangen", wenn es nicht funktioniert. Das passiert zum Beispiel wenn man Zielserver nur als Hostname statt FQDN angibt, oder statt FQDN die IP-Adrresse. Was man eigentlich immer abschalten kann, ist zumindestens NTLMv1, NTLMv2 wird schon schwieriger. Wir sind mittlerweile so weit, dass wir per GPO auf allen Windows-Systemen zumindestens NTLMv1 und v2 komplett ausgehend abschalten konnten, bei einigen Servern und allen DCs eingehend leider noch nicht, weil es immer noch Alt-Applikationen und diverse Appliances (insbesondere wenn sie Linux-basiert sind, komisch…) , aber auch Firewalls, Switches, Storages mit AD-Auth gibt, die kein Kerberos können und teilweise sogar nur NTLMv1 nutzen obwohl die neuesten Updates drauf sind. Wenn ich in unserem SIEM nach NTLM-Auths filtere, kommt mir immer noch das kalte Grauen. Das bekommt man nur langsam weg, ständig den Herstellern auf den Nerv gehen, und irgendwann passiert was… Jetzt, wo MS das abgekünigt hat, vielleicht etwas schneller. Siehe auch den jüngsten NTLM-Artikel auf gruppenrichtlinien.de.