Die Veralterung von NTLM beschert uns XP-EOL-Flashbacks: Sind Sie geschützt? 

Startseite » Blog » Die Veralterung von NTLM beschert uns XP-EOL-Flashbacks: Sind Sie geschützt? 

Microsoft kürzlich angekündigt die Abschaffung des NTLM-Protokolls für Windows-Clients. Dies steht im Einklang mit der Ermutigung von Microsoft, sich aufgrund der damit verbundenen Sicherheitsrisiken von NTLM abzuwenden – und ist ein Weckruf, dass die Beibehaltung der NTLM-Nutzung Umgebungen einem hohen Risiko aussetzt.  

Wir können die auffallende Ähnlichkeit zwischen den heutigen NTLM und Windows XPs EOL vor einem Jahrzehnt. In beiden Fällen hat Microsoft hat den Support für eine veraltete – und doch weit verbreitete – Infrastruktur eingestellt, die ihre Nutzer kritischen Risiken aussetzt. Bei XP bestand das Risiko in der böswilligen Remote-Code-Ausführung; bei NTLM ist es Zugang zu Anmeldeinformationen und anschließend seitliche Bewegung und Ransomware verbreiten. 

In diesem Blog finden Sie eine Übersicht über die potenziellen Identitätsbedrohungen, die NTLM heute für Unternehmen mit sich bringt, und einen Plan zur Risikominderung, um die Widerstandsfähigkeit Ihrer Umgebung zu gewährleisten.

Wussten Sie, dass NTLM quicklebendig ist? 

Obwohl allgemein bekannt ist, dass NTLM „unsicher“ ist, wird es in Produktionsumgebungen immer noch häufig verwendet. Identity Underground-Bericht, veröffentlicht im März 2024, enthüllte, dass ein Ein alarmierender Anteil der Benutzer, Administratoren und Dienstkonten verwendet immer noch NTLM für den Ressourcenzugriff

64% der Benutzerkonten regelmäßig NTLM für den Ressourcenzugriff verwenden  

Diagramm Nr. 1: Aufschlüsselung der NTLM-Authentifizierungen nach Prozentsatz der Benutzer 

37 % der Administratoren nutzen regelmäßig NTLM für den Ressourcenzugriff 

Diagramm Nr. 2: Zusätzliche Aufschlüsselung mit Schwerpunkt auf Administrator- und Nicht-Administrator-Benutzern 

 

46 % der Servicekonten nutzen regelmäßig NTLM für den Ressourcenzugriff 

Diagramm Nr. 3: Aufschlüsselung der NTLM-Authentifizierungen nach Prozentsatz der Dienstkonten

Wussten Sie, dass NTLM die Massenverbreitung von Ransomware ermöglichen kann? 

Aber was ist das tatsächliche Risiko einer hohen NTLM-Nutzung? 

Die Sicherheitsprobleme von NTLM ergeben sich aus der Art und Weise, wie Hashes anstelle von Passwörtern verwendet werden. Dadurch wird das Senden des Klartextpassworts über das Kabel vermieden, was gut ist. Angreifer können diesen Mechanismus jedoch missbrauchen und den NTLM-Hash selbst als Passwortäquivalent für böswilligen Ressourcenzugriff verwenden.  

Lassen Sie uns diesen NTLM-Missbrauch zuordnen auf MITRE ATT&CK-Framework-Terminologie: 

  • Zugang zu Anmeldeinformationen: Angreifer können eine breite Palette verfügbarer Tools einsetzen, um die NTLM-Datei entweder aus der Speicherung im Arbeitsspeicher der Maschinen oder während sie das Netzwerk zwischen den Maschinen durchquert, zu extrahieren. 
  • Seitliche Bewegung: Nach dem Hash-Kompromiss können Angreifer entweder den Hash selbst verwenden oder ihn offline entschlüsseln, um das Klartextkennwort zu erhalten. Im ersten Fall würden sie Techniken wie Pass-the-Hash oder NTLM-Relay verwenden. Im zweiten Fall würden sie einfach neu erhaltene Kennwörter für böswilligen Zugriff verwenden.   

Die Kombination von Zugang zu Anmeldeinformationen und die laterale Bewegung ist der X-Faktor hinter all den spektakulären Ransomware-Angriffen, die Organisationen in den letzten Jahren erlebt haben. 

Wissen ist Macht: Stellen Sie die folgenden Fragen, um Ihr NTLM-Risiko zu verstehen und zu beheben  

Erhalten Sie Einblick in die NTLM-Gefährdung und die Abwehrmöglichkeiten Ihrer Umgebung, indem Sie Ihren Identitätssicherheit Team die folgenden Fragen: 

Haben wir Einblick in die tatsächliche NTLM-Nutzung in unserer Umgebung? 

Diese Frage konzentriert sich auf den Umfang Ihrer NTLM-Exposition bei allen Benutzern, Administratoren, Dienstkonten und den Ressourcen, bei denen NTLM verwendet wird. Die Antwort sollte als Prozentsatz quantifiziert werden, wie oben gezeigt.  

Können wir die NTLM-Nutzung auf die Bereiche beschränken, in denen sie absolut notwendig? 

Der nächste Schritt besteht darin, herauszufinden, was Sie tun können, um die NTLM-Nutzung zu minimieren. Die Antwort auf diese Frage sollte den Anteil Ihrer NTLM-Nutzung zeigen, der nicht eliminiert werden kann (Legacy-Apps sind das häufigste Beispiel) und den Anteil, der ohne Betriebsunterbrechung entfernt werden könnte.  

Können wir die durch NTLM ermöglichte laterale Bewegung in Echtzeit blockieren? 

Hier sollten wir davon ausgehen, dass bereits ein Verstoß stattgefunden hat. Wenn NTLM vorhanden ist, besteht eine große Chance, dass Angreifer Passwörter kompromittieren und versuchen, böswilligen Zugriff zu erhalten. Die Antwort auf diese Frage sollte die vorhandenen Sicherheitskontrollen auflisten, die böswillige Zugriffsversuche mit NTLM-bezogenen erkennen und blockieren können. kompromittierte Zugangsdaten.  

Fazit: NTLM-Risiken erkennen, kennen und entsprechend handeln 

Wie bei Windows XP ist proaktives Handeln der beste Ansatz, um NTLM-bedingte Risiken zu mindern. Die drei oben stehenden Fragen sind ein Entwurf für eine proaktive Minderungsstrategie. Können Ihre Identitäts- und Sicherheitsteams also solide Antworten darauf geben? Dies hängt natürlich von den Identitäts- und Sicherheitslösungen ab, die Sie implementiert haben. Wenn Sie die Antworten nicht finden oder diese unbefriedigend sind, müssen Sie sofort handeln, um die Lösung zu finden, die Ihnen helfen kann. Alles, was kürzer ist, würde Sie angreifbar machen.   

Erinnern Sie sich an XP und die zahlreichen Angriffe, denen Unternehmen täglich ausgesetzt waren? Dieses Problem verschwand nicht von selbst. Bei NTLM wird es nicht anders sein.  

Stoppen Sie Identitätsbedrohungen jetzt