Obwohl ein wesentlicher Teil der Cyber-Resilienz die Anpassung an technologische Veränderungen ist, ist es ebenso wichtig, Angriffsflächen zu adressieren, die konstant geblieben sind. Dies liegt daran, dass die meisten Unternehmen zusätzlich zu neueren Cloud-Workloads und SaaS-Anwendungen eine erhebliche Menge an Legacy-Infrastruktur beibehalten haben. Manchmal ist dies auf die Betriebskosten der Migration sowie auf Bedenken zurückzuführen, dass dadurch möglicherweise kritische Prozesse unterbrochen werden. In anderen Fällen liegt dies einfach daran, dass das IT-Team sich nicht einmal der Existenz der Legacy-Komponenten bewusst ist. Aber was auch immer der Grund sein mag, veraltete Infrastrukturen sind ein beliebtes Ziel für Bedrohungsakteure, da sie immer weniger sicher sind als ihre modernen Alternativen. 

In diesem Beitrag untersuchen wir ein prominentes Beispiel für eine Legacy-Infrastruktur: das NTLMv1-Authentifizierungsprotokoll. Diese frühe Version von NTLM enthielt kritische Sicherheitslücken, die es Angreifern ermöglichten, eine Vielzahl von auszuführen Identitätsbasierte Angriffe. Und obwohl es jetzt mehr als 30 Jahre alt ist, ist es immer noch in Produktionsumgebungen zu finden – und setzt sie Risiken einer Kompromittierung aus, die extrem schwer zu erkennen sind.

Wir zeigen dann wie Silverfort ermöglicht es Unternehmen, die Risiken von NTLMv1 durch Erkennung, Überwachung und Kontrolle über jede Authentifizierung und Zugriffsversuch, der immer noch dieses archaische Protokoll verwendet. 

NTLM-Authentifizierung: Eine kurze Geschichte

Laut Wikipedia , "In einem Windows Netzwerk, New Technology LAN Manager (NTLM) ist eine Suite von Microsoft Sicherheitsprotokolle, die Benutzern Authentifizierung, Integrität und Vertraulichkeit bieten sollen. NTLM ist der Nachfolger des Authentifizierungsprotokolls von Microsoft LAN-Manager. Die NTLM-Protokollsuite ist in a implementiert Sicherheits-Support-Anbieter, das kombiniert die LAN-Manager Authentifizierungsprotokolle NTLMv1, NTLMv2 und NTLM2 in einem einzigen Paket.“ (NTLM2 kombiniert sowohl NTLMv1 als auch NTLMv2.) 

NTLMv1 wurde bereits 1993 veröffentlicht und ist ein Challenge-Response-Authentifizierungsprotokoll, was bedeutet, dass der Authentifizierungsprozess in drei Schritten durchgeführt wird: 

1. Der Client-Rechner stellt eine Netzwerkverbindung zum Zielserver her.
2. Der Server sendet eine Challenge an den Client-Rechner.
3. Der Client-Computer antwortet auf die Anfrage und der Server erlaubt oder verweigert den Zugriff basierend auf der Antwort.

1998 wurde NTLMv2 auf Windows NT 4.0 SP 4 veröffentlicht und ist seitdem die aktuelle Version des Protokolls.

Allgemeine NTLM-Sicherheitsprobleme

Alle Versionen der NTLM-Authentifizierung sind mit den folgenden Sicherheitsproblemen konfrontiert:

1. Fehlende salzen macht das Hash-Passwort äquivalent, was bedeutet, dass Sie sich authentifizieren können, wenn Sie den Hash-Wert vom Server abrufen können, ohne das tatsächliche Passwort zu kennen. Dies bedeutet, dass ein Angreifer, der einen Hash abrufen kann – und es gibt verschiedene Möglichkeiten, ihn aus dem Arbeitsspeicher der Maschine zu kopieren – dann leicht auf einen Zielserver zugreifen und sich als tatsächlicher Benutzer ausgeben kann.
2. Während der Server tatsächlich die Identität des Clients validiert, gibt es keine entsprechende Validierung der Identität des Servers, was die Möglichkeit eines Man-In-The-Middle (MITM)-Angriffs eröffnet.
3. NTLMv1 fehlt eine Client-Herausforderung – im Falle eines Angriffs auf NTLMv1 kann der Angreifer den Client zwingen, die NTLMv1-Antwort mit einer bekannten Server-Herausforderung zu berechnen. Dann kann der Angreifer das Passwort des Benutzers effizient erraten, indem er die NTLMv1-Antwort mit a Regenbogentisch.
4. Fehlende MFA Der Support entzieht dem Protokoll jeglichen Schutz im Falle eines kompromittierten Passworts oder Hashs. 

Diese Bedenken veranlassten Microsoft, NTLM durch das sicherere zu ersetzen Kerberos Authentifizierungsprotokoll als Standard in AD-Umgebungen, obwohl NTLM als Backup beibehalten wird. Aber selbst innerhalb von NTLM ist NTLMv1 deutlich weniger sicher als sein Nachfolger NTLMv2.

Was NTLMv1 zu einem Sicherheitsrisiko macht

Das Sicherheitsniveau des Protokolls hängt von der Herausforderung ab – je schwieriger zu kompromittieren, desto sicherer die Authentifizierung. 

Im Fall von NTLMv1 liegt der Unterschied in ihren spezifischen Herausforderungen:

1. NTLMv1 erzeugt eine Abfrage mit einer 16-Bit-Zahl fester Länge, während NTLMv2 Abfragen mit variabler Länge erzeugt.
2. NTLMv1 verwendet einen schwachen DES-Verschlüsselungsalgorithmus, der schnell zu entschlüsseln ist, was ihn anfällig für Brute-Forcing macht, während NTLMv2 den langsameren HMAC-MD5 verwendet, der diesen Angriffen besser widerstehen kann, da die Entschlüsselung nicht in Echtzeit stattfinden kann. 

Jedes System, das die NTLMv1-Authentifizierung verwendet, ist daher gefährdet, da Angreifer leicht einen Weg finden können, die Herausforderung anzunehmen und sich so Zugriff auf das System zu verschaffen. 

Vor diesem Hintergrund ist es leicht zu verstehen, warum IT- und Sicherheitsteams von NTLMv1 wegkommen wollen. Theoretisch scheint es einfach zu sein – finden Sie einfach alle Systeme, die NTLMv1 verwenden, und wechseln Sie zu einem sichereren Protokoll. In der Praxis ist es jedoch viel anspruchsvoller.

Hindernisse beim Erkennen und Entfernen von NTLMv1

In einer idealen Welt würde es einen Filter geben, der beim Anklicken alle NTLMv1-Authentifizierungen anzeigt, die in einer Umgebung stattfinden. Leider ist die Realität nicht so einfach.

Der einfachste Weg besteht darin, die Überwachung des Anmeldeerfolgs auf dem Domänencontroller zu aktivieren. Laut Dokumentation von Microsoft sollte jeder Endpunkt dann ein Ereignis mit den erforderlichen Informationen generieren (Success Auditing Event 4624, das Informationen über die Version von NTLM enthält. Die empfangenen Ereignisprotokolle enthalten ein Feld „Paketname (nur NTLM)“, das die NTLMs angibt Ausführung). Das Sammeln dieser Protokolle kann jedoch nicht zentral auf dem DC erfolgen und muss von jedem einzelnen Computer abgerufen werden. Außerdem verfügt das Ereignis in vielen Fällen nicht über die NTLM-Versionsdaten oder wurde noch nicht einmal erstellt. 

Darüber hinaus befindet sich NTLMv1 in den meisten Fällen in einer Legacy-Anwendung, in der die NTLMv1-Authentifizierung für den App-Server durchgeführt wird. Daher gibt es keine Gewissheit, dass der Programmierer, der die Anwendung codiert hat, einen soliden Überwachungsmechanismus implementiert hat. Wenn die Anwendung einen Windows-Server verwendet, kann sie teilweise lokal überwacht werden, beispielsweise wenn sie interne Windows-Bibliotheken wie die IIS-Authentifizierung (Webserveranwendung) verwendet. Wenn die Anwendung jedoch vollständig von einem Drittanbieter geschrieben wurde, werden überhaupt keine Protokolle geprüft. In diesem Fall gibt es keine Möglichkeit herauszufinden, ob NTLMv1 ohne Eingriffe verwendet wird (z. B. das Entschlüsseln der Pakete oder das Analysieren des eigentlichen App-Codes).

NTLMv1-Authentifizierungen können zwar teilweise durch Inspektion auf Netzwerkebene erkannt werden, eine solche Inspektion ist jedoch nicht möglich, da dieser Datenverkehr in den meisten Fällen verschlüsselt ist.

Die Herausforderung liegt also nicht nur in der inhärenten Unsicherheit von NTLMv1 selbst, sondern auch in der Schwierigkeit festzustellen, ob es in einer bestimmten Umgebung verwendet wird. 

Silverfort's-Schutz für die NTLMv1-Angriffsoberfläche

Das Silverfort Einheitlicher Identitätsschutz Die Plattform bietet Organisationen die einzigartige Möglichkeit, nicht nur alle NTLMv1-Authentifizierungen innerhalb einer Umgebung zu erkennen, sondern sie auch aktiv zu blockieren. 

Silverfort Analyse-Engine erkennt NTLMv1-Authentifizierungen und markiert sie als Risikoindikator. Dieser Risikoindikator kann sowohl als Filter zur Erkennung von Computern verwendet werden, die solche Authentifizierungen durchführen, als auch als Auslöser für Zugriffsrichtlinien. Mal sehen, wie es innen aussieht Silverfort Konsole:

Angewandte F&E

Aktivieren Sie im Bildschirm Authentifizierungsprotokolle das Kontrollkästchen NTLMv1-Authentifizierung. Nach der Überprüfung werden alle übereinstimmenden Authentifizierungen angezeigt, die verwertbare Informationen darüber liefern, welche Computer NTLMv1 verwenden, um zu entscheiden, ob sie deaktiviert werden sollen.

NTLMv1 aktiviert in SilverfortAuthentifizierungsprotokolle von

Schutz 

Auf ähnliche Art und Weise, Silverfort ermöglicht die Verwendung eines NTLMv1-Risikoindikators als Auslöser zum Aktivieren einer Zugriffsrichtlinie. Die Aktion wäre dann entweder:

• Ablehnen: Wählen Sie diese Option, wenn Sie NTLMv1 als zusätzliche Vorsichtsmaßnahme überhaupt nicht in der Umgebung zulassen möchten.
  

Silverfort Richtlinie zum Verweigern des Zugriffs über NTLMv1

• MFA: Wählen Sie diese Option, wenn Sie aus irgendeinem Grund die Verwendung von NTLMv1 nicht verhindern können (z. B. wenn es eine alte Anwendung gibt, die kritische Geschäftsprozesse unterbrechen und gefährden könnte). In diesem Fall muss der echte Benutzer, selbst wenn der Authentifizierungsfluss kompromittiert wird, seine Identität über MFA überprüfen, um Zugriff zu erhalten, wodurch die Fähigkeit von Angreifern, die Schwachstellen des Protokolls für böswilligen Zugriff auszunutzen, effektiv entwaffnet wird.
  

Silverfort Richtlinie, MFA Step-up bei der Authentifizierung über NTLMv1 zu verlangen

Der Weg zu umfassender Sicherheit

In der heutigen hybriden Umgebung existieren viele Arten von Systemen nebeneinander, sodass umfassende Sicherheit bedeutet, sie alle zu überwachen und zu schützen. NTLMv1 ist nur ein Beispiel für die Probleme mit Legacy-Systemen; Es ist auch wichtig zu verstehen, dass, wenn die Sicherheitsschwäche in der Legacy-Infrastruktur liegt, eine Kompromittierung hier Angreifern ermöglichen kann, sich auch Zugang zu anderen Teilen der Umgebung zu verschaffen. Die richtige Denkweise besteht nicht so sehr darin, Legacy-Systeme zu sichern, sondern vielmehr zu verhindern, dass Legacy-Systeme zum Tor zu Ihrer Umgebung werden. 

Silverfort's Unified Identitätsschutz ist die erste Plattform, die speziell zum Schutz vor Identitätsbedrohungen im gesamten Hybridunternehmen entwickelt wurde – unabhängig davon, ob es sich bei der Zielressource um eine SaaS-Anwendung, einen Cloud-Workload oder einen lokalen Server handelt. Silverfort erweitert MFA und moderne Identitätssicherheit auf alle Kernressourcen, die zuvor nicht geschützt werden konnten – einschließlich NTLMv1.

Ist NTLMv1 ein Angriffsfläche möchtest du ansprechen? Vereinbaren Sie einen Termin mit einem unserer Experten hier.