NTLMv1-Bypass in Active DirectoryTechnischer Tiefgang

Silverfort Bild
11
Inhaltsverzeichnis

Diesen Beitrag teilen:

Wenn Sie glauben, dass Sie NTLMv1 in Ihrer Organisation blockiert haben, denken Sie noch einmal darüber nach. SilverfortDas Forschungsteam von hat kürzlich entdeckt, dass Angreifer die Gruppenrichtlinie umgehen, die NTLMv1 deaktivieren soll, wodurch unsichere Authentifizierungen bestehen bleiben Active Directory Umgebungen.

Diese wichtigen Erkenntnisse verdeutlichen eine kritische Lücke: Selbst wenn Unternehmen glauben, ihre Systeme gesichert zu haben, bleibt NTLMv1 eine versteckte Hintertür für den Diebstahl von Anmeldeinformationen. lateraler Bewegung ausnutzenund Privilegienerweiterung. Mit über 64 % der Active Directory Obwohl NTLMv1 trotz seiner bekannten Schwächen weiterhin Konten mit NTLM-Protokollen authentifiziert, stellt es weiterhin ein ernstes Risiko dar.

TL; DR 

  • News: SilverfortDas Forschungsteam von hat einen neuen Weg für Angreifer entdeckt, NTLMv1 bei Angriffen, trotz der Bemühungen, es zu deaktivieren. Durch eine Fehlkonfiguration in On-Premise-Anwendungen können Angreifer die Gruppenrichtlinie zum Stoppen von NTLMv1 Authentifizierungen. 
  • Warum es darauf ankommt: 64% der Active Directory Benutzerkonten authentifizieren sich regelmäßig mit NTLM, obwohl es bekannte Schwächen hat und von Microsoft abgelehnt wird. Viele Organisationen versuchten, das NTLMv1-Problem mit einem Active Directory Gruppenrichtlinie. Wir haben jedoch festgestellt, dass diese Richtlinie fehlerhaft ist und NLTMv1-Authentifizierungen weiterhin zulässt, was ein falsches Gefühl der Sicherheit vermittelt und Unternehmen ungeschützt lässt. Angreifer wissen, dass NTLMv1 eine schwache AD-Authentifizierung Protokoll und suchen Sie aktiv danach, um sich seitwärts zu bewegen oder Privilegien zu erhöhen. 
  • Wer ist betroffen: Jede Organisation, die Anwendungen von Drittanbietern oder selbst entwickelte Anwendungen vor Ort verwendet und die nicht ausschließlich Windows-Rechner verwendet. Wenn sich beispielsweise ein Mac-Computer mit einer Bankanwendung verbindet, könnte dies gefährdet sein.  
  • Auswirkungen auf Organisationen: Ein Angreifer, der sich in einem Netzwerk befindet, kann den NTLMv1-Verkehr sehen und die Anmeldeinformationen der Benutzer offline knacken, was die Tür für seitliche Bewegungen öffnet und Privilege-Escalation-AngriffeUnser POC emuliert eine Anwendung, die die Umzäunung umgeht, und bestätigt, dass diese Fehlkonfiguration einem Angreifer einen Vorteil verschafft.
  • Ergebnis der Offenlegung: Während das Microsoft Security Response Center (MSRC) die NTLMv1 Obwohl die Umgehung keine Sicherheitslücke darstellt, haben sie proaktive Maßnahmen zur Verbesserung der Sicherheit ergriffen und die vollständige Entfernung von NTLMv1 innerhalb von zwei Monaten nach unserer Offenlegung angekündigt, beginnend mit Windows 11 Version 24H2 und Windows Server 2025.

Wir haben vor Kurzem ein Webinar veranstaltet, in dem ich die Teilnehmer detaillierter durch die Forschungsergebnisse führte und ihnen zeigte, wie man NTLMv1-Authentifizierungen ohne Patch abschwächen kann. Sie können dieses Webinar hier auf Abruf ansehen.

On-Demand-Webinar

Aufdeckung von NTLMv1-Sicherheitslücken: Risiken und Strategien zur Risikominderung in Active Directory Umgebungen.

Schau es hier an
NTLM-Screenshot 1

Zusammenfassung und Schadensbegrenzung

Trotz seiner historischen Bedeutung stellt NTLM ein erhebliches Sicherheitsrisiko dar. Seine veralteten kryptografischen Methoden, gut dokumentierten Schwächen und das Fehlen moderner Sicherheitsfunktionen (wie MFA und Server-Identitätsüberprüfung) machen es zu einem attraktiven Ziel für Angreifer. NTLMv1-Hashes können abgefangen und verwendet werden für AD-Authentifizierung Relay-Angriffe oder sogar Wörterbuchangriffe, die Angreifern unbefugten Zugriff auf sensible Systeme ermöglichen. In den letzten Monaten wurden neue NTLM-Schwachstellen bekannt, einschließlich eines Zero-Day. In jüngerer Zeit, CyberSky entdeckt eine NTLM-Schwachstelle, die von russischen Bedrohungsakteuren als Teil einer Angriffskette ausgenutzt wird, die die Open-Source- Spark RAT Malware.    

Viele Organisationen nutzen proaktiv den Gruppenrichtlinienmechanismus von Microsoft, um NTLMv1 stoppen, in der Annahme, dass dies sie vor unsicheren NTLMv1-Authentifizierungen schützt. Unsere Untersuchungen zeigen jedoch, dass On-Premise-Anwendungen so konfiguriert werden können, dass NTLMv1 aktiviert wird, wodurch die höchste Authentifizierungsstufe des Group Policy LAN Managers in Active Directory. Organisationen denken, sie tun das Richtige, indem sie diese Gruppenrichtlinie festlegen, aber sie wird trotzdem von der falsch konfigurierten Anwendung umgangen. Solange Anwendungen nicht für die Authentifizierung mit NTLMv1 konfiguriert werden können, wird das Problem bestehen bleiben.    

At Silverforthaben wir in unserem Kundenstamm viele Versuche zur Authentifizierung über NTLMv1 beobachtet. Wir arbeiten eng mit unseren Kunden zusammen, um die Nutzung von NTLMv1 abzubilden und zu erkennen und risikobasierte Zäune anwenden um das Risiko einer Kompromittierung zu verringern. Ohne einen Patch für NLTMv1 sollten Unternehmen, die in der Vergangenheit NTLMv1 verwendet haben, Folgendes beachten:  

  1. Aktivieren von Überwachungsprotokollen für alle NTLM-Authentifizierungen in der Domäne.
  2. Zuordnung aller Anwendungen, die NTLM-Authentifizierungen in erster Instanz oder als Fallback verwenden.
  3. Erkennen anfälliger Anwendungen, die von Clients die Verwendung von NTLMv1-Nachrichten anfordern.
  4. Abschirmung aller NTLM mit einer modernen Authentifizierungsmethode.

Anleitung zum vollständigen Entfernen von NTLM aus Ihrer Umgebung

Mit dem Ende des Windows 10-Lebenszyklus wird die NTLM-Authentifizierung abgeschafft. Erfahren Sie in dieser Schritt-für-Schritt-Anleitung, wie Sie die NTLM-Nutzung erkennen und verhindern.

Jetzt lesen

Was ist NTLMv1 und warum ist es ein Problem?

NTLM (NT LAN Manager) ist ein älteres Microsoft-Authentifizierungsprotokoll aus den frühen 1990er Jahren. Es wurde ursprünglich entwickelt, um Benutzeridentitäten in Windows-Netzwerken zu überprüfen. Es wurde größtenteils ersetzt durch Kerberos-bleibt es in vielen Active Directory Umgebungen aufgrund der Abwärtskompatibilität und Altsystemen.

NTLM-Grundlagen

Das Protokoll funktioniert über eine einfache Sequenz aus drei Nachrichten:

  1. Verhandeln – Der Client teilt dem Server mit, dass er NTLM zur Authentifizierung verwenden möchte.
  2. Herausforderung – Der Server antwortet mit einer Zufallszahl (der Challenge), die mit den Anmeldeinformationen des Benutzers verschlüsselt werden muss.
  3. Authentifizieren – Der Client sendet die verschlüsselte Challenge zurück. Wenn der Server sie anhand der gespeicherten Anmeldeinformationen validiert, wird der Zugriff gewährt.
NTLM-Screenshot 2

Das Problem ist, dass NTLMv1, die erste Version des Protokolls, nach heutigen Maßstäben höchst unsicher ist. Es basiert auf schwacher DES-Verschlüsselung, verwendet nur eine 8-Byte-Challenge (leicht zu knacken) und verfügt nicht über moderne Sicherheitskontrollen wie MFA-Schutz oder Server-Identitätsprüfung. Diese Schwächen machen NTLMv1-Authentifizierungen zu einem bevorzugten Ziel für Angreifer, die Hashes abfangen, Replay- oder Relay-Angriffe durchführen und Berechtigungen erweitern können. Active Directory.

Obwohl NTLMv1 veraltet ist, wird es weiterhin verwendet, da viele lokale Anwendungen, Nicht-Windows-Clients und selbst entwickelte Systeme immer noch davon abhängen, wodurch Unternehmen anfällig für Angriffe sind.

Blog

Sicher trotz Altlasten: Der Leitfaden für IAM-Leiter zur Kontrolle von Identitätsrisiken

Jetzt lesen

Was ist der Unterschied zwischen NTLMv1 und NTLMv2?

Um die Schwächen von NTLMv1 zu beheben, hat Microsoft NTLMv2 eingeführt, das mehrere Verbesserungen mit sich brachte:

  • Stärkere Verschlüsselung – NTLMv2 ersetzte DES durch RC4, wodurch Brute-Force-Angriffe schwieriger wurden.
  • Kundenherausforderung – Eine zweite zufällige Herausforderung vom Client hinzugefügt, um Entropie und Sicherheit zu erhöhen.
  • AV_PAIRS – Einführung zusätzlicher Sitzungsdaten (wie Quelle, Ziel und SPN), um eindeutige Sitzungsschlüssel zu generieren und so das Risiko von Replay- oder Relay-Angriffen zu verringern.
NTLM-Screenshot 3

Obwohl NTLMv2 deutlich sicherer ist als NTLMv1, handelt es sich immer noch um ein veraltetes Protokoll. Es fehlt an nativer MFA-Unterstützung und modernem Identitätsschutz. Daher sollten Unternehmen letztendlich auf moderne Authentifizierungsprotokolle wie Kerberos umsteigen, um einen stärkeren Schutz zu erreichen.

Silverfort Forschung: NTLMv1-Umgehung in Active Directory

Der Gruppenrichtlinienmechanismus von Microsoft ist darauf ausgelegt, NTLMv1-Authentifizierungen zu deaktivieren. Durch das Setzen des Registrierungsschlüssels LMCompatibilityLevel erwarten Administratoren, dass Domänencontroller NTLMv1-Verkehr ablehnen und stattdessen NTLMv2 oder Kerberos verlangen. Auf dem Papier sollte dies NTLMv1 ausschließen Active Directory Umgebungen.

NTLM-Screenshot 4

Doch SilverfortDas Forschungsteam von stellte fest, dass dieser Schutz nicht absolut ist. Während unserer Analyse identifizierten wir eine Schwachstelle, die es Anwendungen ermöglicht, die Gruppenrichtlinie zu umgehen und weiterhin NTLMv1-Authentifizierungsanfragen zu senden. Dies schafft einen gefährlichen blinden Fleck: Unternehmen könnten glauben, sie hätten NTLMv1 blockiert, während es in Wirklichkeit weiterhin besteht. Active Directory anfällig für Diebstahl von Anmeldeinformationen, laterale Bewegungen und Privilegienerweiterungen.

Technischer Deep Dive: So funktioniert der NTLMv1-Bypass

Die Durchsetzung von NTLM-Richtlinien hängt von der Netlogon Remote Protocol (MS-NRPC), die Anwendungsserver zur Validierung von NTLM-Nachrichten mit Domänencontrollern verwenden. Eine Schlüsselstruktur in diesem Prozess, NETLOGON_LOGON_IDENTITY_INFOenthält ein Feld namens ParameterControl.

NTLM-Screenshot 5

In diesem Feld befindet sich ein Flag, das die NTLMv1-Authentifizierung explizit zulässt – auch wenn die Gruppenrichtlinie so konfiguriert ist, dass sie diese blockiert. Mit anderen Worten: Die Kontrolle ist nur so stark wie die Anwendungen, die sie akzeptieren.

Um dies zu testen, erstellten wir eine Proof-of-Concept-Anwendung, die einen bösartigen oder falsch konfigurierten Dienst simulierte. Durch Setzen des ParameterControl-Flags erzwangen wir erfolgreich NTLMv1-Authentifizierungen. Der Domänencontroller akzeptierte diese, obwohl die Gruppenrichtlinie so konfiguriert war, dass NTLMv1 nicht zulässig war.

NTLM-Screenshot 6

Dies bedeutet, dass jede Anwendung – ob versehentlich oder absichtlich – weiterhin NTLMv1-Verkehr generieren kann, wodurch Unternehmen versteckten Authentifizierungsrisiken ausgesetzt sind. Angreifer, die solche Anwendungen identifizieren, können diese ausnutzen, um Anmeldeinformationen abzufangen, Replay- oder Relay-Angriffe durchzuführen und sich seitlich durch Active Directory.

Antwort von Microsoft

Als wir unsere Erkenntnisse dem Microsoft Security Response Center (MSRC) mitteilten, bestätigte dieses das Verhalten, bezeichnete es jedoch nicht als Sicherheitslücke. Stattdessen ergriff Microsoft proaktiv Maßnahmen und kündigte die vollständige Entfernung von NTLMv1 an. Beginnend mit Windows 11 Version 24H2 , Windows Server 2025, NTLMv1 wird überhaupt nicht mehr unterstützt.

Dieser entscheidende Schritt unterstreicht die Ernsthaftigkeit des Risikos. Bis dahin bleiben Unternehmen jedoch gefährdet, wenn sie sich ausschließlich auf die Gruppenrichtlinie verlassen, um NTLMv1 zu blockieren. Sie müssen die Nutzung von NTLMv1 proaktiv erkennen und eindämmen, um sicherzustellen, dass Angreifer diese Authentifizierungsschwäche nicht ausnutzen können.

Kostenlose Ressource

Roadmap zum Abschalten NTLM-basierter Anwendungen

Dieser herunterladbare Leitfaden bietet einen verständlichen Fahrplan, was zu tun ist, wenn Sie bereit sind, NTLM-basierte Anwendungen vollständig herunterzufahren.

Jetzt lesen

Sicherheitsrisiken der NTLMv1-Authentifizierung

Obwohl Microsoft NTLMv1 ablehnt, stellt es weiterhin ein ernstes Risiko in modernen Active Directory Umgebungen. Angreifer scannen Netzwerke aktiv nach NTLMv1-Verkehr, da dieser einen einfachen Einstiegspunkt für Folgendes bietet:

  • Diebstahl von Anmeldedaten – NTLMv1-Hashes können offline abgefangen und geknackt werden.
  • Replay- und Relay-Angriffe – Abgefangene NTLMv1-Nachrichten können wiederverwendet werden, um Benutzer in verschiedenen Diensten zu imitieren.
  • Laterale Bewegung und Rechteausweitung – Sobald Angreifer Fuß gefasst haben, können sie sich systemübergreifend bewegen und ihre Berechtigungen innerhalb von AD erhöhen.

Selbst wenn Unternehmen glauben, NTLMv1 durch Gruppenrichtlinien blockiert zu haben, bleibt das Protokoll oft im Verborgenen bestehen. Anwendungen können weiterhin eine NTLMv1-Authentifizierung anfordern, und Domänencontroller können diese unter bestimmten Bedingungen genehmigen. Windows-Clients mit LMCompatibilityLevel 3 und höher generieren keine NTLMv1-Antworten, Nicht-Windows-Clients bleiben jedoch ungeschützt. In der Praxis bedeutet dies, dass in vielen Umgebungen weiterhin NTLMv1-Verkehr vorhanden ist – selbst wenn Administratoren davon ausgehen, dass dieser eliminiert wurde.

Diese Persistenz macht es extrem schwierig, nachzuweisen, dass NTLMv1 vollständig entfernt wurde. Infolgedessen wiegen sich viele Organisationen in falscher Sicherheit, während Angreifer diese schwachen Authentifizierungen weiterhin ausnutzen, um Active Directory.

So mildern und beseitigen Sie NTLMv1

Bis NTLMv1 von Microsoft vollständig entfernt wird, müssen Unternehmen proaktiv Maßnahmen ergreifen, um seine Verwendung zu erkennen und einzudämmen. Sich ausschließlich auf Gruppenrichtlinien zu verlassen, reicht nicht aus – versteckte Fehlkonfigurationen und Nicht-Windows-Clients können weiterhin NTLMv1-Verkehr erzeugen.

Hier sind die wichtigsten Maßnahmen, die jede Organisation ergreifen sollte:

  1. Aktivieren Sie Überwachungsprotokolle für alle NTLM-Authentifizierungen über die Domäne hinweg, um vollständige Sichtbarkeit zu gewährleisten.
  2. Ordnen Sie alle Anwendungen zu, die NTLM verwenden als primäre Methode oder als Fallback, einschließlich lokaler und selbst entwickelter Systeme.
  3. Erkennen Sie anfällige Anwendungen, die weiterhin NTLMv1-Nachrichten anfordern, insbesondere von Nicht-Windows-Clients.
  4. Setzen Sie moderne Schutzmaßnahmen durch wie MFA und risikobasierte Zugriffskontrollen für alle NTLM-Authentifizierungen, um zu verhindern, dass Angreifer schwache Protokolle ausnutzen.

Silverfort Identity Security Die Plattform unterstützt Unternehmen bei diesen Schritten, indem sie NTLMv1-Verkehr in Echtzeit erkennt und adaptive Kontrollen anwendet. Mit Silverfort, Sicherheitsteams können riskante Authentifizierungen enthalten, Dienstkonten schützenund erzwingen Sie eine moderne Authentifizierung, ohne den Geschäftsbetrieb zu stören.

Möchten Sie mehr erfahren? Sehen Sie sich unser On-Demand-Webinar an

Wenn Sie tiefer in die Details dieser Forschung eintauchen möchten, Schauen Sie sich dieses On-Demand-Webinar an, wo wir die NTLMv1-Bypass-Erkennung durchgehen und praktische Möglichkeiten zur Abschwächung von NTLMv1-Authentifizierungen ohne Patch aufzeigen.

On-Demand-Webinar

Aufdeckung von NTLMv1-Sicherheitslücken: Risiken und Strategien zur Risikominderung in Active Directory Umgebungen.

Roy-Akerman-Headshot-2.jpg

Roy Akerman

Vizepräsident für Identitätssicherheitsstrategie

Dor Segal HS

Dor Segal

Leiter des Sicherheitsforschungsteams

Yoad Dvir HS

Yoad Dvir

Senior Produktmarketing Manager

Schau es hier an

Wir haben Identity Security auf ein neues Level gehoben.

Entdecken Sie, was möglich ist.

Vereinbaren Sie eine Demo und erleben Sie die Silverfort Identity-Security-Plattform in Aktion.

Demo anfragen
neuer Held (1)

Silverfort übernimmt Fabrix Security

Bereitstellung autonomer Identitätssicherheit zur Laufzeit

Pionierarbeit bei der Entwicklung der ersten autonomen Laufzeit-Zugriffskontroll-Engine, die alle menschlichen, maschinellen und agentenbasierten Identitäten mithilfe von tiefgreifendem Kontext und der Geschwindigkeit von KI schützen soll.

Holen Sie sich die ganze Geschichte