Ein öfter beobachteter Angriffsvektor, mit dem Kriminelle sich weiteren Zugang zu Netzwerken verschaffen, sind Umleitungen von Microsofts Netzwerkprotokoll NTLM, sogenanntes NTLM-Relaying. Über NTLM werden Zugangsdaten zur Authentifizierung übertragen, die Angreifer abgreifen und missbrauchen können. Microsoft will solche Angriffe nun standardmäßig signifikant erschweren.
Anzeige
Wie Microsoft in einem Blog-Beitrag schreibt, setzt der Hersteller nun auf "Extended Protection for Authentication" (kurz: EPA) zum besseren Schutz der Zugangsdaten. Das kommt standardmäßig seit diesem Februar auf Exchange-Servern zum Einsatz, nachdem Cyberkriminelle die Schwachstelle CVE-2024-21410, mit einem CVSS-Wert von 9.8 als kritisches Risiko eingestuft, aktiv missbraucht hatten, um ihre Rechte auszuweiten. Microsoft nannte den EPA-Schutz dort auch NTLM Credentials Relay Protection.
Auch der Anfang vergangenen Monats veröffentlichte Windows Server 2025 hat einen solchen Schutz erhalten, insbesondere für die "Azure Directory Certificate Services" (AD CS). LDAP Channel Binding ist aus demselben Grund im Server 2025 per Default aktiv. Zusammen sollen diese Erweiterungen das Risiko von NTLM-Relay-Angriffen standardmäßig für die drei On-Premises-Dienste Exchange, AD CS und LDAP signifikant reduzieren.
NTLM-Relay-Angriffe laufen typischerweise zweistufig ab. Zunächst bringen Angreifer Opfer dazu, sich an beliebigen Endpunkten anzumelden. Anschließend leiten sie die Authentifizierung auf ein verwundbares Ziel um. Durch die Umleitung können Angreifer sich als ihr Opfer ausgeben und in deren Namen Aktionen ausführen. Damit haben sie einen Fuß in der Tür für eine weitere Kompromittierung des Netzwerks. Microsofts Ansatz ist nun, die Anmeldung an beliebige Endpunkte einzuschränken. Mit EPA und Channel Binding können sich Clients nur an bestimmten Servern anmelden. Sie spielen damit eine wichtige Rolle in der Abwehr von NTLM-Relay-Angriffen. Mit Blick in die Zukunft erklärt Microsoft, dass NTLM als veraltetes Protokoll gilt, und empfiehlt dementsprechend, dass sich Nutzer auf die Deaktivierung in kommenden Windows-Versionen vorbereiten sollen. Modernere Authentifizierungsprotokolle wie Kerberos sollen zum Einsatz kommen. In der Zwischenzeit versucht Microsoft mit unterschiedlichen Strategien, NTLM zumindest zu härten.
In der vergangenen Woche wurde eine Schwachstelle in Windows von Version 7 und Server 2008 R2 bis zu den aktuellen Windows-Versionen 11 24H2 und Server 2022 bekannt, durch die Angreifer die NTLM-Zugangsdaten abgreifen können. Die Schwachstelle wurde von 0patch entdeckt und in einem Blog-Beitrag gemeldet. Dazu genügt, Opfer dazu zu bringen, eine bösartige Datei im Windows-Explorer anzuzeigen, etwa durch Öffnen eines Netzwerkshares, eines USB-Sticks oder des Download-Ordners mit einer solchen Datei, die etwa automatisch von der Webseite der Angreifer heruntergeladen wurde. Dass Windows Server 2025 in der Auflistung der verwundbaren Systeme fehlt, scheint ein Indiz dafür zu sein, dass Microsofts Gegenmaßnahmen helfen. Admins sollten daher EPA aktivieren, wo es verfügbar ist.
Anzeige
Das veraltete NTLM ist ein dauerhafter Gefahrenherd in allen Windows-Netzen. Das wird auch auf Jahre noch so bleiben und Admins müssen gezielt vorbeugen. Denn regelmäßig sorgen "Won't Patch"-Lücken wie Petit Potam oder die vorgenannte aktuelle NTLM-Disclosure-Lücke für Verunsicherung. Wie Admins sich richtig aufstellen, erklärten wir erst kürzlich in unserem heise-Security-Webinar "NTLM: Microsofts Erbsünde und wie Admins damit sinnvoll umgehen", das unsere PRO-Mitglieder nach wie vor in der Mediathek ansehen können.
(
Kommentare