Um Windowsnetzwerke und deren Schwachstellen zu verstehen, ist etwas Wissen über die dazugehörigen Protokolle nötig, wie zum Beispiel NTLMv1.

Was ist NTLM?

NTLM steht für NT Lan Manager und ist eine Weiterentwicklung des ‚LAN Manager‘-Protokolls für Windows NT und dient zur Authentifizierung von Clients gegenüber einem Server in einem Windowsnetzwerk. Die erste Version dieses NTLM-Protokolls (heute bekannt als NTLMv1) weist einige Schwachstellen auf.

Das grundlegende Problem lag im anfänglichen Ansatz von Microsoft, welcher mit Security by Obscurity am besten beschrieben werden kann. Die Implementierung von NTLMv1 wurde nicht veröffentlicht und erst durch Reverse Engineering und durch Druck der USA und der EU auf Microsoft offengelegt. Dabei offenbarten sich einige schwere Sicherheitslücken.

Warum ist NTLMv1 gefährlich?

Die Funktionsweise von NTLMv1 zur Authentifizierung eines Client gegenüber einem Server beruht auf dem Challenge-Response-Ansatz. Nachdem der Client seinen Benutzernamen gesendet hat, sendet der Server eine zufällig 8-stellige Zahl an den Client. Dieser verschlüsselt diese Zahl mit dem Hash seines Passworts und sendet dieses an den Server zurück. Dieser vergleicht dies mit der Verschlüsselung mit einem Passwort aus seiner eigenen Datenbank und authentifiziert bei Erfolg den Client.

Mit dieser Vorgehensweise ist NTLMv1 für Pass-The-Hash-Attacken verwundbar, d.h. der LM- oder NTLM-Hash, kann von einem Angreifer abgefangen und an andere Maschinen gesendet werden, sodass der Angreifer sich mit dem Benutzer an einer anderen Maschine anmelden kann. Dieser Art Angriff wird sehr gut in diesem Artikel beschrieben. Zusätzlich verwendet NTLMv1 den Hashing-Algorithmus MD4, welcher aus dem Jahr 1990 stammt. Dieser Hashing-Algorithmus erzeugt 128 bit Hashs. Bei einem 8-stelligen Kennwort dauert das Cracking eines NTLM-Hashs unter 2,5 h (Quelle), wobei Passwörter aus Wörterbuchlisten schneller geknackt werden.

Sollte NTLMv1 noch genutzt werden?

NTLMv1 sollte definitiv nicht mehr genutzt werden! Dies ist teilweise einfacher gesagt als getan, da NTLMv1 für ältere Geräte teilweise noch benötigt wird. In Windowsdomänen existieren 6 Optionen in den Gruppenrichtlinien zur Verwendung von LM und NTLM Authentifizierungen:

Optionen zur Authentifizierung in einer Domäne

Die sicherste Variante ist die letzte und diese nutzt NTLMv2. Zu diesem Protokoll, dessen Verbesserungen gegenüber NTLMv1 und seinen Schwachstellen, folgt ein weiterer Artikel.

Kategorien: GrundlagenHacking

0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.