PeopleImages.com Yuri A | shutterstock.comIm Jahr 1991 beendete Microsoft seine Partnerschaft mit IBM und damit auch die gemeinsame Entwicklungsarbeit an OS/2, um sich seinem eigenen Betriebssystem zu widmen. Dieses Bestreben gipfelte 1993 im Release von Windows NT, das standardmäßig das Authentifizierungsprotokoll New Technology LAN Manager, kurz NTLM, verwendete. Im Laufe des nächsten Jahrzehnts entwickelte sich NTLM zu Microsofts erster Anlaufstelle in Sachen Single Sign-On (SSO) lange, bevor das Verfahren zur Benutzeridentifizierung zu einer eigenen Produktkategorie wurde.Das Problem: NTLM ist weiterhin tief in der Windows-Welt verankert und auch wegen seines Alters risikobehaftet. Die Folge sind beispielsweise NTLM-Relay-Angriffe. Die NTLM-Alternative Kerberos wird auf der anderen Seite (noch) nicht durchgängig unterstützt und auch die Option, NTLM über Azure Active Directory zu deaktivieren, ist nicht immer die beste.Im Folgenden lesen Sie, wie sich NTLM definiert, welche Risiken es aufwirft und welche Möglichkeiten sich Ihnen bieten, das unsichere Protokoll ein für alle mal zu eliminieren. Eines vorweg: Letzteres zu zu realisieren, stellt keine leichte Aufgabe dar.
Was ist NTLM?
Bei NTLM handelt es sich um eine Suite von Authentifizierungs- und Security-Protokollen, die in diversen Microsoft-Netzwerkprotokoll-Implementierungen zur Anwendung kommt. NTLM ist unter anderem Bestandteil des “Integrated Windows Authentication Stack” für die http-Authentifizierung. Darüber hinaus kommt es auch in folgenden Microsoft-Implementierungen zum Einsatz:
SMTP,POP3,IMAP,CIFS/SMB,Telnet undSIP.Dabei weckt NTLM Erinnerungen an eine andere Konnektivitäts-Ära, als Netzwerke nicht mehr als lokale Verbindungen zu Datei- und Drucker-Servern darstellten. Dieser lokale Fokus sollte sich auch als wesentlicher Nachteil für Sicherheitsverantwortliche erweisen. Denn im Gegensatz zu modernen SSO-Lösungen verwendet NTLM ein einfaches Dialogfeld, um Benutzer zu authentifizieren ohne echte Maßstäbe an die Passwortsicherheit anzulegen. Dass das keinen zukunftsfähigen Weg in Sachen Authentifizierung darstellt, wusste Microsoft schon im Jahr 2009 seitdem rät der Konzern davon ab, das Protokoll zu verwenden, weil es grundsätzlich nicht sicher ist. Diese Botschaft ging leider unter und NTLM wurde weiter genutzt.
Warum NTLM ein Risiko darstellt
Kriminelle Hacker nehmen deshalb gerne Applikationen ins Visier, die NTLM im Rahmen ihres Authentifizierungsprozesses einsetzen. Sicherheitslücken im Zusammenhang mit NTLM tauchen regelmäßig auf zum Beispiel in Form von CVE 2023-23397, einer als kritisch eingestuften Privilege-Escalation-Schwachstelle in Microsoft Outlook. Diese ließ sich mit einer speziell gestalteten E-Mail ausnutzen, die keine weitere Nutzerinteraktion erforderte. Research-Spezialisten des IT-Sicherheitsanbieters BeyondTrust beschreiben in ihrem “Microsoft Vulnerabilities Report 2024” die Funktionsweise: “Die Schwachstelle wird durch eine speziell ausgestaltete Kalender-, beziehungsweise Termineinladung getriggert, die an die E-Mail-Adresse des Opfers gesendet wird. Diese Einladung ist mit zusätzlichen Properties ausgestattet, die Outlook dazu veranlassen, eine SMB-Verbindung herzustellen und einen NTLM-Authentifizierungsprozess über einen Server im Netz anzustoßen. Letzterer steht unter der Kontrolle der Angreifer und ermöglicht diesen, die NTLM-Hashes abzufangen und sich im Namen ihrer Ziele zu authentifizieren.” Wie die Security-Experten schlussfolgern, resultiert das in einer potenziellen Privilege Escalation und damit in einem erhöhten Risiko für die gesamte IT-Umgebung.Die NTLM-“Features”, die das Protokoll bei kriminellen Hackern besonders beliebt machen, im Überblick:
Um zu unterstreichen, dass es Microsoft diesmal mit der NTLM-Abkehr Ernst meint, hat der Konzern außerdem ein einstündiges Webinar auf Youtube veröffentlicht, das weitere Tipps zur NTLM-Abkehr visualisiert:
(fm)Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.
First seen on csoonline.com
Jump to article: https://www.csoonline.com/article/3494156/netzwerksicherheit-umsetzen-so-killen-sie-ntlm.html
b2b-contenthub.com/wp-content/uploads/2025/02/original_PeopleImages.com-Yuri-A.jpg?resize=300%2C168&quality=50&strip=all 300w, b2b-contenthub.com/wp-content/uploads/2025/02/original_PeopleImages.com-Yuri-A.jpg?resize=768%2C432&quality=50&strip=all 768w, b2b-contenthub.com/wp-content/uploads/2025/02/original_PeopleImages.com-Yuri-A.jpg?resize=1024%2C576&quality=50&strip=all 1024w, b2b-contenthub.com/wp-content/uploads/2025/02/original_PeopleImages.com-Yuri-A.jpg?resize=1536%2C864&quality=50&strip=all 1536w, b2b-contenthub.com/wp-content/uploads/2025/02/original_PeopleImages.com-Yuri-A.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, b2b-contenthub.com/wp-content/uploads/2025/02/original_PeopleImages.com-Yuri-A.jpg?resize=1240%2C697&quality=50&strip=all 1240w, b2b-contenthub.com/wp-content/uploads/2025/02/original_PeopleImages.com-Yuri-A.jpg?resize=150%2C84&quality=50&strip=all 150w, b2b-contenthub.com/wp-content/uploads/2025/02/original_PeopleImages.com-Yuri-A.jpg?resize=854%2C480&quality=50&strip=all 854w, b2b-contenthub.com/wp-content/uploads/2025/02/original_PeopleImages.com-Yuri-A.jpg?resize=640%2C360&quality=50&strip=all 640w, b2b-contenthub.com/wp-content/uploads/2025/02/original_PeopleImages.com-Yuri-A.jpg?resize=444%2C250&quality=50&strip=all 444w” width=”1024″ height=”576″ sizes=”(max-width: 1024px) 100vw, 1024px” />
