{"id":1841,"date":"2025-02-10T06:39:00","date_gmt":"2025-02-10T06:39:00","guid":{"rendered":"https:\/\/cybersecurityinfocus.com\/?p=1841"},"modified":"2025-02-10T06:39:00","modified_gmt":"2025-02-10T06:39:00","slug":"so-killen-sie-ntlm","status":"publish","type":"post","link":"https:\/\/cybersecurityinfocus.com\/?p=1841","title":{"rendered":"So killen Sie NTLM"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n
Netzwerksicherheit und NTLM gehen nicht gut zusammen.\n

PeopleImages.com \u2013 Yuri A | shutterstock.com<\/p>\n<\/div>\n

Im Jahr 1991 beendete Microsoft seine Partnerschaft mit IBM und damit auch die gemeinsame Entwicklungsarbeit an OS\/2, um sich seinem eigenen Betriebssystem<\/a> zu widmen. Dieses Bestreben gipfelte 1993 im Release von Windows NT, das standardm\u00e4\u00dfig das Authentifizierungsprotokoll New Technology LAN Manager, kurz NTLM<\/a>, verwendete. Im Laufe des n\u00e4chsten Jahrzehnts entwickelte sich NTLM zu Microsofts erster Anlaufstelle in Sachen Single Sign-On (SSO<\/a>) \u2013 lange, bevor das Verfahren zur Benutzeridentifizierung zu einer eigenen Produktkategorie wurde.<\/p>\n

Das Problem: NTLM ist weiterhin tief in der Windows-Welt verankert \u2013 und auch wegen seines Alters risikobehaftet. Die Folge sind beispielsweise NTLM-Relay-Angriffe<\/a>. Die NTLM-Alternative Kerberos wird auf der anderen Seite (noch) nicht durchg\u00e4ngig unterst\u00fctzt und auch die Option, NTLM \u00fcber Azure Active Directory<\/a> zu deaktivieren, ist nicht immer die beste.<\/p>\n

Im Folgenden lesen Sie, wie sich NTLM definiert, welche Risiken es aufwirft und welche M\u00f6glichkeiten sich Ihnen bieten, das unsichere Protokoll ein f\u00fcr alle mal zu eliminieren. Eines vorweg: Letzteres zu zu realisieren, stellt keine leichte Aufgabe dar.<\/p>\n

Was ist NTLM?<\/h3>\n

Bei NTLM<\/a> handelt es sich um eine Suite von Authentifizierungs- und Security-Protokollen, die in diversen Microsoft-Netzwerkprotokoll-Implementierungen zur Anwendung kommt. NTLM ist unter anderem Bestandteil des \u201cIntegrated Windows Authentication Stack\u201d f\u00fcr die http-Authentifizierung. Dar\u00fcber hinaus kommt es auch in folgenden Microsoft-Implementierungen zum Einsatz:<\/p>\n

SMTP,<\/p>\n

POP3,<\/p>\n

IMAP,<\/p>\n

CIFS\/SMB,<\/p>\n

Telnet und<\/p>\n

SIP.<\/p>\n

Dabei weckt NTLM Erinnerungen an eine andere Konnektivit\u00e4ts-\u00c4ra, als Netzwerke nicht mehr als lokale Verbindungen zu Datei- und Drucker-Servern darstellten. Dieser lokale Fokus sollte sich auch als wesentlicher Nachteil f\u00fcr Sicherheitsverantwortliche erweisen. Denn im Gegensatz zu modernen SSO-L\u00f6sungen<\/a> verwendet NTLM ein einfaches Dialogfeld, um Benutzer zu authentifizieren \u2013 ohne echte Ma\u00dfst\u00e4be an die Passwortsicherheit anzulegen. Dass das keinen zukunftsf\u00e4higen Weg in Sachen Authentifizierung<\/a> darstellt, wusste Microsoft schon im Jahr 2009 \u2013 seitdem r\u00e4t der Konzern davon ab, das Protokoll zu verwenden, weil es grunds\u00e4tzlich nicht sicher ist. Diese Botschaft ging leider unter \u2013 und NTLM wurde weiter genutzt.<\/p>\n

Warum NTLM ein Risiko darstellt<\/h3>\n

Kriminelle Hacker nehmen deshalb gerne Applikationen ins Visier, die NTLM im Rahmen ihres Authentifizierungsprozesses einsetzen. Sicherheitsl\u00fccken im Zusammenhang mit NTLM tauchen regelm\u00e4\u00dfig auf \u2013 zum Beispiel in Form von CVE 2023-23397<\/a>, einer als kritisch eingestuften Privilege-Escalation-Schwachstelle in Microsoft Outlook. Diese lie\u00df sich mit einer speziell gestalteten E-Mail ausnutzen, die keine weitere Nutzerinteraktion erforderte. <\/p>\n

Research-Spezialisten des IT-Sicherheitsanbieters BeyondTrust beschreiben in ihrem \u201cMicrosoft Vulnerabilities Report 2024<\/a>\u201d die Funktionsweise: \u201cDie Schwachstelle wird durch eine speziell ausgestaltete Kalender-, beziehungsweise Termineinladung getriggert, die an die E-Mail-Adresse des Opfers gesendet wird. Diese Einladung ist mit zus\u00e4tzlichen Properties ausgestattet, die Outlook dazu veranlassen, eine SMB-Verbindung herzustellen und einen NTLM-Authentifizierungsprozess \u00fcber einen Server im Netz anzusto\u00dfen. Letzterer steht unter der Kontrolle der Angreifer und erm\u00f6glicht diesen, die NTLM-Hashes abzufangen und sich im Namen ihrer Ziele zu authentifizieren.\u201d Wie die Security-Experten schlussfolgern, resultiert das in einer potenziellen Privilege Escalation<\/a> und damit in einem erh\u00f6hten Risiko f\u00fcr die gesamte IT-Umgebung.<\/p>\n

Die NTLM-\u201cFeatures\u201d, die das Protokoll bei kriminellen Hackern besonders beliebt machen, im \u00dcberblick: <\/p>\n

nicht-existente Kennwortsicherheit;<\/p>\n

erfordert keine lokale Verbindung zu einer Windows-Dom\u00e4ne;<\/p>\n

ist erforderlich, wenn ein lokales Konto verwendet wird und der beabsichtigte Zielserver unbekannt ist;<\/p>\n

bietet aufgrund seines Alters keinen Support f\u00fcr moderne Verschl\u00fcsselungsverfahren<\/a> wie AES oder SHA-256, weshalb sein (unsalted) Hash-System einfach zu knacken ist.<\/p>\n

Kerberos vs. NTLM<\/h3>\n

Moderne Kryptografie ist jedoch gl\u00fccklicherweise Bestandteil der Kerberos-Protokolle<\/a>, die Microsoft seit einigen Jahren als NTLM-Substitut etablieren will und die seit Windows Server 2000 standardm\u00e4\u00dfig zu Authentifizierungszwecken zum Einsatz kommen.<\/p>\n

\u201cNTLM basiert auf einem Drei-Wege-Handshake zwischen Client und Server, um einen Benutzer zu authentifizieren. Kerberos setzt hingegen auf einen zweiteiligen Prozess, der auf einem Ticket-Vergabeservice oder einem Key-Distribution-Center fu\u00dft\u201d, erkl\u00e4rt Crowdstrike-Experte Narendran Vaideeswaran in einem Blogbeitrag<\/a>. Kerberos ist also \u201csecure by design\u201d \u2013 etwas, das man von NTLM nicht einmal ansatzweise behaupten kann. Allerdings war und ist NTLM einfach zu implementieren \u2013 was auch ein Grund f\u00fcr die anhaltende Nutzung ist. Ein weiterer: Wenn Kerberos nicht richtig funktioniert, ist NTLM oft die n\u00e4chstbeste Wahl, respektive die Fallback-L\u00f6sung. Einen weiteren Pain Point besteht darin, dass das Protokoll auch verwendet wird, um Remote Desktop Services zu implementieren.<\/p>\n

Microsofts Bestrebungen, NTLM abzul\u00f6sen, schienen hingegen angesichts der Nicht-Existenz einfacher L\u00f6sungen etwas unaufrichtig \u2013 erst in j\u00fcngster Zeit scheint die Abkehr von NTLM endlich Fahrt aufzunehmen. X-User \u201cBrian in Pittsburgh\u201d bringt die z\u00e4he Entwicklung in einer Kurznachricht auf den Punkt:<\/p>\n

For about a decade or more, Microsoft took an approach that customers who wanted to be more foundationally secure needed to either possess significant expertise and determination to implement non-default and obscure things or shift to using new MS cloud stuff.<\/p>\n

\u2014 Brian in Pittsburgh (@arekfurt) April 15, 2024<\/a> <\/p>\n

In einem Blogpost<\/a> aus dem Oktober 2023 k\u00fcndigt Microsoft an, die Zuverl\u00e4ssigkeit und Flexibilit\u00e4t von Kerberos ausbauen und die Abh\u00e4ngigkeiten von NTLM reduzieren zu wollen. In Windows 11 soll NTLM vollst\u00e4ndig deaktiviert werden \u2013 allerdings ist daf\u00fcr bislang noch kein Termin bekannt.<\/p>\n

Wie Sie NTLM loswerden<\/h3>\n

Vollst\u00e4ndig auf NTLM zu verzichten, wird kein einfacher Task. Unternehmen sollten insbesondere die folgenden drei Schritte abarbeiten, um sich der Protokollplage endg\u00fcltig zu entledigen:<\/p>\n

Sto\u00dfen Sie zun\u00e4chst ein Protokoll-Audit an, das s\u00e4mtliche Verbindungen zu NTLM aufsp\u00fcrt \u2013 einschlie\u00dflich \u00e4lterer Clients, auf denen ungepatchte und\/oder veraltete Windows-Versionen ohne Kerberos-Support laufen. Im weiteren Verlauf m\u00fcssen alle betroffenen Windows-Clients mit einem neuen Mechanismus f\u00fcr die lokale Kerberos-Authentifizierung ausgestattet sowie um alte Konfigurationen und Code-Bestandteile bereinigt werden \u2013 je nach (Microsoft-)Anwendungsportfolio eine Herkulesaufgabe. <\/p>\n

Anschlie\u00dfend sollten Sie auf spezifische Sperren setzen, um sich vor NTLM-Relay-Angriffen zu sch\u00fctzen. Dazu empfiehlt Crowdstrike-Experte Vaideeswaran, Serversignaturen und EPA (Extended Protection for Authentification) auf allen relevanten Systemen zu aktivieren, die neuesten Sicherheits-Patches einzuspielen sowie den NTLM-Netzwerkverkehr \u00fcber Gruppenrichtlinienobjekte einzuschr\u00e4nken. SMB-Clients lassen sich dar\u00fcber hinaus so konfigurieren, dass NTLM in Windows-11- und Windows-Server-Preview-Versionen blockiert wird. <\/p>\n

Zu guter Letzt gilt es, Kerberos f\u00fcr den Support von Service Principal Names zu konfigurieren. Wie das geht, beschreibt Microsoft im Rahmen eines Lernartikels<\/a> ausf\u00fchrlich. Besonders wichtig ist dieser Punkt zum Beispiel, wenn Ihr Netzwerk \u00fcber Load Balancer verf\u00fcgt, die den TCP\/IP-Traffic aufteilen.<\/p>\n

Um zu unterstreichen, dass es Microsoft diesmal mit der NTLM-Abkehr Ernst meint, hat der Konzern au\u00dferdem ein einst\u00fcndiges Webinar auf Youtube ver\u00f6ffentlicht, das weitere Tipps zur NTLM-Abkehr visualisiert:<\/p>\n

\n<\/div>\n

(fm)<\/p>\n

Sie wollen weitere interessante Beitr\u00e4ge rund um das Thema IT-Sicherheit lesen? <\/strong>Unser kostenloser Newsletter<\/strong><\/a> liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.<\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>","protected":false},"excerpt":{"rendered":"

Netzwerksicherheit und NTLM gehen nicht gut zusammen. PeopleImages.com \u2013 Yuri A | shutterstock.com Im Jahr 1991 beendete Microsoft seine Partnerschaft mit IBM und damit auch die gemeinsame Entwicklungsarbeit an OS\/2, um sich seinem eigenen Betriebssystem zu widmen. Dieses Bestreben gipfelte 1993 im Release von Windows NT, das standardm\u00e4\u00dfig das Authentifizierungsprotokoll New Technology LAN Manager, kurz […]<\/p>\n","protected":false},"author":0,"featured_media":1842,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[],"class_list":["post-1841","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-education"],"_links":{"self":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1841"}],"collection":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"replies":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1841"}],"version-history":[{"count":0,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/posts\/1841\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=\/wp\/v2\/media\/1842"}],"wp:attachment":[{"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1841"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1841"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybersecurityinfocus.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1841"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}