Windows-Netze: Google Mandiant gibt Microsofts NTLM den Todesstoß

Microsofts Authentifizierungsverfahren NTLM ist ein nicht enden wollender Security-Albtraum. Bereits seit Jahren abgekündigt, findet es sich immer noch in den meisten Windows-Netzen und wird von Kriminellen etwa bei Ransomware-Angriffen systematisch missbraucht. Und jetzt macht Googles Mandiant die Situation noch schlimmer – zumindest scheinbar. Denn der Konzern veröffentlicht sogenannte Rainbow-Tabellen, die das Rekonstruieren von Passwörtern aus abgefangenen Authentifizierungsversuchen zum Kinderspiel machen. Doch dahinter steckt ein nachvollziehbarer Plan.

NT LAN Manager (NTLM) ist das älteste Authentifizierungsverfahren in Windows-Netzen; bereits seit dem Jahr 2000 ist der Nachfolger Kerberos der Default. Und das mit gutem Grund: NTLM ist ein akutes Sicherheitsrisiko. Insbesondere bei der Verwendung von Net-NTLMv1 können Angreifer etwa über künstlich erzwungene Anmeldevorgänge – sogenannte Coercion – das verwendete Passwort rekonstruieren. Doch es gibt so viele Nischen, in denen nach wie vor NTLM erforderlich ist, dass Microsoft es immer noch nicht geschafft hat, das Protokoll komplett zu entfernen. Und weil es auf vielen Windows-Systemen immer noch vorhanden ist, können Angreifer ein Downgrade erzwingen und Passwörter erbeuten.

Kalkulierter Todesstoß

Das Knacken der Passwörter erfolgt dann mit Rainbow-Tabellen. Diese enthalten vorberechnete Zwischenwerte des zeitaufwendigen Knackvorgangs, mit deren Hilfe der Rest nur noch wenige Minuten dauert; die Theorie dahinter klärt der heise-Artikel „Von Wörterbüchern und Regenbögen“. Genau diese umfangreichen Tabellen stellt Google jetzt zum freien Download zur Verfügung, sodass das jede(r) mit den ebenfalls frei verfügbaren Knackprogrammen wie John the Ripper auf seinem Notebook machen kann. Genau das ist Googles Intention: „Mit der Veröffentlichung dieser Tabellen möchte Mandiant die Hürde für Sicherheitsexperten senken, die Unsicherheit von Net-NTLMv1 zu demonstrieren“, erklären sie diesen drastischen Schritt.

Das Kalkül könnte aufgehen, denn ein vor den eigenen Augen geknacktes Passwort überzeugt möglicherweise auch die Geschäftsführung, dass man die Härtung des Windows-Netzes jetzt doch mal konkret angehen sollte. Noch wichtiger: Es erhöht den Druck auf Microsoft, die Jahrzehnte währende Abschaffung von NTLM doch endlich zu Ende zu bringen. Das hinzukommende Risiko ist hingegen überschaubar: Bereits vor 20 Jahren gab es Rainbow-Cracking als Online-Service und die benötigten Rainbow-Tables kursieren ebenfalls seit Ewigkeiten. Wer sie wirklich wollte, konnte sie auch finden und benutzen; Angriffe engagierter Täter scheitern nicht an fehlenden Rainbow-Tables.

Hilfe für Admins

Das Problem sind eher die Schutzmaßnahmen in der Übergangszeit, bis Microsoft endgültig den Stecker zieht. Da schreibt Google lediglich: „Organisationen sollten die Verwendung von Net-NTLMv1 unverzüglich deaktivieren.“ Doch ganz so trivial ist das in der Praxis real existierender Windows-Netze oftmals nicht. Es hat schon seinen Grund, warum Microsoft das endgültige Aus für NTLM so lange hinauszögert: In der Praxis ergeben sich dabei oftmals Probleme. Genau deshalb bot heise security auch bereits 2024 Administratoren in einem eigenen Webinar zu NTLM: Microsofts Erbsünde und wie Admins damit sinnvoll umgehen ausführliche Hilfestellung.

Doch jetzt sollten Admins das unbedingt angehen und die Windows-Authentifizierung härten, um diese Gefahr in den Griff zu bekommen. Dazu gehört dann auch, Kerberos zu zähmen. Denn der ist ebenfalls von Sicherheitsproblemen geplagt, die sich in Angriffen wie Kerberoasting mit Golden und Silver Tickets niederschlagen. Das sind sogenannte Ticket-granting Tickets, die es dem Angreifer erlauben, sich selbst Authentifizierungs-Token auszustellen. Wie das genau funktioniert und was man dagegen tun sollte, erklärt und demonstriert Frank Ully im heise security Webinar „Authentifizierung im Active Directory absichern: Mit Microsofts veralteten Konzepten (über)leben“ am 26. Februar. Dort geht es natürlich auch um NTLM und wie man damit sinnvoll umgeht.

(ju)