Google Tochter Mandiant versetzt dem NTLMv1-Protokoll den sicherheitstechnischen Todesstoß. Dieses veraltete Protokoll ist seit Ende der 1990er Jahre unsicher, und ermöglicht Angreifern, Passwort-Hashes innerhalb weniger Stunden zu knacken und ihre Berechtigungen zu erweitern. Mandiant hat nun einen umfassenden Datensatz mit Net-NTLMv1-Rainbow-Tabellen veröffentlicht, um die Dringlichkeit einer Migration weg von diesem veralteten Protokoll zu unterstreichen. Die Tabellen ermöglichen es, die Kommunikation mit wenig Aufwand binnen 12 Stunden zu entschlüsseln.
Ich bin bereits vor Tagen auf nachfolgenden Post eines Sicherheitsexperten gestoßen, der auf diesen Umstand hinweist.
Mandiant hat das Ganze im Beitrag Closing the Door on Net-NTLMv1: Releasing Rainbow Tables to Accelerate Protocol Deprecation zum 15. Januar 2025 öffentlich gemacht und schreibt, dass Net-NTLMv1 seit über zwei Jahrzehnten veraltet sei und als unsicher gelte. Die Kryptoanalyse des Protokolls reicht bis ins Jahr 1999 zurück. Trotzdem stellen die Sicherheitsspezialisten von Mandiant weiterhin fest, dass Net-NTLMv1 weiterhin in aktiven Umgebungen verwendet wird.
Mandiant argumentiert – wie viele andere Firmen, auch Microsoft, dass dieses veraltete Netzwerkprotokoll Unternehmen anfällig für den Diebstahl von Anmeldedaten macht. Die Mandiant-Sicherheitsexperten sehen aufgrund von Trägheit und einem Mangel an nachweisbaren unmittelbaren Risiken, dass das Protokoll nicht ausgemustert wird und nach wie vor weit verbreitet ist.
Um die Tür zur Verwendung von Net-NTLMv1 in Netzwerken zu schließen, habe man sich zur Veröffentlichung von Rainbow Tables zur Beschleunigung der Protokollabschaffung entschieden. Der veröffentlichte, umfassende Datensatz mit Net-NTLMv1-Rainbow-Tabellen, soll die Dringlichkeit einer Migration weg von diesem veralteten Protokoll unterstreichen.
Mit der Veröffentlichung dieser Tabellen möchte Mandiant Sicherheitsfachleuten den Nachweis der Unsicherheit von Net-NTLMv1 erleichtern. Es gebe zwar schon seit Jahren Tools, mit denen dieses Protokoll ausgenutzt werden kann, schreiben die Mandiant-Leute. Doch diese Tools erforderten diese oft das Hochladen sensibler Daten auf Dienste von Drittanbietern oder teure Hardware, um Schlüssel mit Brute-Force-Angriffen zu knacken.
Die Veröffentlichung dieses Datensatzes ermöglicht es Sicherheitsexperten und Forschern, Schlüssel, die über Net-NTLMv1 im Netzwerk verschickt werden, in weniger als 12 Stunden mit Verbraucherhardware im Wert von weniger als 600 US-Dollar wiederherzustellen. Die Details lassen sich dem Beitrag Closing the Door on Net-NTLMv1: Releasing Rainbow Tables to Accelerate Protocol Deprecation entnehmen. Ergänzung: heise hat in diesem Artikel diesen Move von Mandiant kommentiert und schreibt von einem Todesstoß für NTLMv1. Wie ist die Situation in eurer Umgebung? Ist die inzwischen frei von Systemen mit NTLMv1?
Ähnliche Artikel:
Windows 11 24H2/Server 2025: NTLMv1 wurde entfernt
Windows 11: Microsofts Credential Guard leakt Credentials, kein Fix geplant
Windows: NTLM und Driver Verifier GUI als veraltet (deprecated) erklärt
MVP: 2013 – 2016
NTLMv1 kann man normalerweise schon seit vielen Jahren abschalten. NTLMv2 kommt leider noch vor, vor allem in gemischten Umgebungen. Da macht das "sichere" Linux bzw. darauf basierte Appliances Windows unsicherer.
NTLM, sowohl v1 als auch v2 sind hier schon seit Jahren abgeschaltet.
Seit dem heißt es: Kerberos only.
Windows unterstützt Kerberos seit Windows 2000.
Selbst so alte Software wie z.B. Outlook 2010 hat keine Probleme mit Kerberos.
Entsprechende Registry-Keys setzen, um das NTLM-Logging zu aktivieren, dann die Ereignisanzeige auf den DCs anschauen, ob da noch NTLM-Ereignisse protokolliert werden.
Wenn da über ein paar Wochen keine NTLM-Ereignisse mehr protokolliert werden, kann man NTLM problemlos abschalten, da es nicht mehr verwendet wird.
Und im AD schauen, welche Verschlüsselung bei Kerberos bei den Objekten benutzt wird.
Die unsicheren Verfahren DES, 3DES und RC4 sollten auf AES umgestellt werden.