Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

NTLM-Relay-Angriffe: Microsoft ergreift Gegenmaßnahmen

Ein öfter beobachteter Angriffsvektor, mit dem Kriminelle sich weiteren Zugang zu Netzwerken verschaffen, sind Umleitungen von Microsofts Netzwerkprotokoll NTLM, sogenanntes NTLM-Relaying. Über NTLM werden Zugangsdaten zur Authentifizierung übertragen, die Angreifer abgreifen und missbrauchen können. Microsoft will solche Angriffe nun standardmäßig signifikant erschweren.

Anzeige

Wie Microsoft in einem Blog-Beitrag schreibt, setzt der Hersteller nun auf "Extended Protection for Authentication" (kurz: EPA) zum besseren Schutz der Zugangsdaten. Das kommt standardmäßig seit diesem Februar auf Exchange-Servern zum Einsatz, nachdem Cyberkriminelle die Schwachstelle CVE-2024-21410, mit einem CVSS-Wert von 9.8 als kritisches Risiko eingestuft, aktiv missbraucht hatten, um ihre Rechte auszuweiten. Microsoft nannte den EPA-Schutz dort auch NTLM Credentials Relay Protection.

Auch der Anfang vergangenen Monats veröffentlichte Windows Server 2025 hat einen solchen Schutz erhalten, insbesondere für die "Azure Directory Certificate Services" (AD CS). LDAP Channel Binding ist aus demselben Grund im Server 2025 per Default aktiv. Zusammen sollen diese Erweiterungen das Risiko von NTLM-Relay-Angriffen standardmäßig für die drei On-Premises-Dienste Exchange, AD CS und LDAP signifikant reduzieren.

NTLM-Relay-Angriffe laufen typischerweise zweistufig ab. Zunächst bringen Angreifer Opfer dazu, sich an beliebigen Endpunkten anzumelden. Anschließend leiten sie die Authentifizierung auf ein verwundbares Ziel um. Durch die Umleitung können Angreifer sich als ihr Opfer ausgeben und in deren Namen Aktionen ausführen. Damit haben sie einen Fuß in der Tür für eine weitere Kompromittierung des Netzwerks. Microsofts Ansatz ist nun, die Anmeldung an beliebige Endpunkte einzuschränken. Mit EPA und Channel Binding können sich Clients nur an bestimmten Servern anmelden. Sie spielen damit eine wichtige Rolle in der Abwehr von NTLM-Relay-Angriffen. Mit Blick in die Zukunft erklärt Microsoft, dass NTLM als veraltetes Protokoll gilt, und empfiehlt dementsprechend, dass sich Nutzer auf die Deaktivierung in kommenden Windows-Versionen vorbereiten sollen. Modernere Authentifizierungsprotokolle wie Kerberos sollen zum Einsatz kommen. In der Zwischenzeit versucht Microsoft mit unterschiedlichen Strategien, NTLM zumindest zu härten.

In der vergangenen Woche wurde eine Schwachstelle in Windows von Version 7 und Server 2008 R2 bis zu den aktuellen Windows-Versionen 11 24H2 und Server 2022 bekannt, durch die Angreifer die NTLM-Zugangsdaten abgreifen können. Die Schwachstelle wurde von 0patch entdeckt und in einem Blog-Beitrag gemeldet. Dazu genügt, Opfer dazu zu bringen, eine bösartige Datei im Windows-Explorer anzuzeigen, etwa durch Öffnen eines Netzwerkshares, eines USB-Sticks oder des Download-Ordners mit einer solchen Datei, die etwa automatisch von der Webseite der Angreifer heruntergeladen wurde. Dass Windows Server 2025 in der Auflistung der verwundbaren Systeme fehlt, scheint ein Indiz dafür zu sein, dass Microsofts Gegenmaßnahmen helfen. Admins sollten daher EPA aktivieren, wo es verfügbar ist.

Anzeige

Das veraltete NTLM ist ein dauerhafter Gefahrenherd in allen Windows-Netzen. Das wird auch auf Jahre noch so bleiben und Admins müssen gezielt vorbeugen. Denn regelmäßig sorgen "Won't Patch"-Lücken wie Petit Potam oder die vorgenannte aktuelle NTLM-Disclosure-Lücke für Verunsicherung. Wie Admins sich richtig aufstellen, erklärten wir erst kürzlich in unserem heise-Security-Webinar "NTLM: Microsofts Erbsünde und wie Admins damit sinnvoll umgehen", das unsere PRO-Mitglieder nach wie vor in der Mediathek ansehen können.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dirk Knop)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

BSI untersucht Sicherheit von smarten Heizkörperth...
Transfer-Software von Cleo: Hinter Firewall bringe...
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Montag, 20. Januar 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image