Um Windowsnetzwerke und deren Schwachstellen zu verstehen, ist etwas Wissen über die dazugehörigen Protokolle nötig, wie zum Beispiel NTLMv1.

Was ist NTLM?

NTLM steht für NT Lan Manager und ist eine Weiterentwicklung des ‚LAN Manager‘-Protokolls für Windows NT und dient zur Authentifizierung von Clients gegenüber einem Server in einem Windowsnetzwerk. Die erste Version dieses NTLM-Protokolls (heute bekannt als NTLMv1) weist einige Schwachstellen auf.

Das grundlegende Problem lag im anfänglichen Ansatz von Microsoft, welcher mit Security by Obscurity am besten beschrieben werden kann. Die Implementierung von NTLMv1 wurde nicht veröffentlicht und erst durch Reverse Engineering und durch Druck der USA und der EU auf Microsoft offengelegt. Dabei offenbarten sich einige schwere Sicherheitslücken.

Warum ist NTLMv1 gefährlich?

Die Funktionsweise von NTLMv1 zur Authentifizierung eines Client gegenüber einem Server beruht auf dem Challenge-Response-Ansatz. Nachdem der Client seinen Benutzernamen gesendet hat, sendet der Server eine zufällig 8-stellige Zahl an den Client. Dieser verschlüsselt diese Zahl mit dem Hash seines Passworts und sendet dieses an den Server zurück. Dieser vergleicht dies mit der Verschlüsselung mit einem Passwort aus seiner eigenen Datenbank und authentifiziert bei Erfolg den Client.

Mit dieser Vorgehensweise ist NTLMv1 für Pass-The-Hash-Attacken verwundbar, d.h. der LM- oder NTLM-Hash, kann von einem Angreifer abgefangen und an andere Maschinen gesendet werden, sodass der Angreifer sich mit dem Benutzer an einer anderen Maschine anmelden kann. Dieser Art Angriff wird sehr gut in diesem Artikel beschrieben. Zusätzlich verwendet NTLMv1 den Hashing-Algorithmus MD4, welcher aus dem Jahr 1990 stammt. Dieser Hashing-Algorithmus erzeugt 128 bit Hashs. Bei einem 8-stelligen Kennwort dauert das Cracking eines NTLM-Hashs unter 2,5 h (Quelle), wobei Passwörter aus Wörterbuchlisten schneller geknackt werden.

Sollte NTLMv1 noch genutzt werden?

NTLMv1 sollte definitiv nicht mehr genutzt werden! Dies ist teilweise einfacher gesagt als getan, da NTLMv1 für ältere Geräte teilweise noch benötigt wird. In Windowsdomänen existieren 6 Optionen in den Gruppenrichtlinien zur Verwendung von LM und NTLM Authentifizierungen:

Optionen zur Authentifizierung in einer Domäne

Die sicherste Variante ist die letzte und diese nutzt NTLMv2. Zu diesem Protokoll, dessen Verbesserungen gegenüber NTLMv1 und seinen Schwachstellen, folgt ein weiterer Artikel.

Kategorien: GrundlagenHacking

3 Kommentare

Uwe · Juli 11, 2021 um 11:54 am

Ist das auch in einem privaten Heimnetz ein Problem ? Das ist doch nach außen durch den Router/Firewall abgesichert, oder ? Wenn Beispielsweise mein Sonos Connect SMBv1/NTLMv1 nutzt, kann doch von außen hierdurch keine Schwachstelle auftreten, oder ? Wenn ich mich dann von meinem PC in den meiner Frau hacken kann, ist das nicht so dramatisch…oder verstehe ich da etwas falsch ?

    dunno263 · Juli 11, 2021 um 5:16 pm

    Hi Uwe, dein Router im Heimnetzwerk baut mit 99% Wahrscheinlichkeit ein NAT-Netzwerk auf, d.h. dein Sonos Connect ist vom öffentlichen Internet erstmal nicht erreichbar, da er keine public IP hat. Sollte der Sonos aber ein Port Forwarding aktivieren (d.h. ein Port an deinem Router wird öffentlich freigegeben und an ein Gerät im NAT-Netwerk weitergeleitet – in diesem Fall an den Sonos), dann ist dieser aus dem Internet erreichbar. Leider machen solche Geräte, das teilweise über UPnP (universal Plug and Play) ohne, dass du dies mitbekommst. Allerdings müsste dann der Port auch Zugriff auf NTLMv1 bieten.
    Die Wahrscheinlichkeit ist also gering, aber nicht 0, wie so oft in der IT-Security 😉

Uwe · Juli 11, 2021 um 8:08 pm

Vielen Dank für die schnelle Antwort !

Schreibe einen Kommentar zu dunno263 Antworten abbrechen

Avatar-Platzhalter

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.