NTLMv1: Veraltete Windows-Passwörter lassen sich in Stunden knacken
Die Sicherheitsfirma Mandiant stellt eine Datenbank bereit(öffnet im neuen Fenster) , mit der sich NTLMv1-geschützte Admin-Passwörter in wenigen Stunden entschlüsseln lassen – ein deutlicher Weckruf für säumige IT-Abteilungen.
Mandiant veröffentlichte eine sogenannte Rainbow Table, mit der sich administrative Passwörter knacken lassen, die noch mit Microsofts veraltetem NTLMv1-Algorithmus gehasht wurden. Mit der Aktion will das Sicherheitsunternehmen offenbar Druck auf Organisationen ausüben, die immer noch auf die längst als unsicher geltende Funktion setzen.
Die neu veröffentlichte Datenbank ermöglicht es laut Mandiant, Passwörter in weniger als zwölf Stunden wiederherzustellen – und das mit handelsüblicher Hardware für unter 600 US-Dollar. Das Unternehmen hostet die Tabelle über Google Cloud, wodurch sie frei zugänglich ist. Davon könnten auch Angreifer profitieren.
Was Rainbow Tables sind und wie sie funktionieren
Bei einer Rainbow Table(öffnet im neuen Fenster) handelt es sich um eine vorberechnete Datenbank, die Hash-Werte ihren ursprünglichen Klartextpasswörtern zuordnet. Hashing ist ein Verfahren, bei dem ein Passwort durch einen Algorithmus in eine scheinbar zufällige Zeichenkette umgewandelt wird. Anders als bei einer Verschlüsselung lässt sich dieser Vorgang mathematisch nicht umkehren – eigentlich. Doch Rainbow Tables umgehen dieses Problem, indem sie schlicht Millionen möglicher Passwörter vorab hashen und die Ergebnisse speichern. Wird ein gestohlener Hash in der Tabelle gefunden, ist das zugehörige Passwort sofort bekannt.
NTLMv1 ist für diesen Angriff besonders anfällig, weil der Algorithmus einen stark begrenzten Schlüsselraum nutzt. Das bedeutet: Die Zahl der möglichen Passwortkombinationen, die der Algorithmus erzeugen kann, ist vergleichsweise klein – was die Erstellung vollständiger Rainbow Tables überhaupt erst praktikabel macht.
Warum das veraltete Protokoll noch immer im Einsatz ist
Obwohl die Sicherheitsmängel von NTLMv1 seit Jahrzehnten dokumentiert sind, kommt das Protokoll in manchen sensiblen Netzwerkumgebungen weiterhin zum Einsatz. Mandiant-Berater stoßen nach eigenen Angaben bei Sicherheitsprüfungen regelmäßig darauf.
Mehrere Faktoren tragen offenbar zu dieser Beharrlichkeit bei. In einigen Organisationen sind die Anwender oft auf Legacy-Anwendungen angewiesen, die mit neueren Hash-Algorithmen nicht kompatibel sind. Bei unternehmenskritischen Systemen können Administratoren häufig keine Ausfallzeiten für eine Migration einplanen. Hinzu kommen organisatorische Trägheit und knappe Budgets.
Eine Schwachstelle mit langer Geschichte
Microsoft veröffentlichte NTLMv1(öffnet im neuen Fenster) ursprünglich in den 1980er Jahren zusammen mit OS/2. Die Sicherheitsmängel von NTLMv1 sind seit Ende der 1990er Jahre bekannt. Kryptografische Analysen verwandter Microsoft-Authentifizierungsprotokolle wie PPTP und MS-CHAP deckten bereits damals grundlegende Schwächen auf.
Microsoft führte zwar bereits 1998 mit Windows NT SP4 das verbesserte NTLMv2 ein, das die bekannten Schwächen behebt. Formelle Pläne zur Abschaffung von NTLMv1 kündigte das Unternehmen jedoch erst im vergangenen August(öffnet im neuen Fenster) an.
Sicherheitsforscher begrüßen die Veröffentlichung
Die Reaktionen von Sicherheitsexperten auf Mastodon fielen überwiegend positiv aus. Mehrere Forscher gaben an, die Tabellen lieferten nützliche Beweise, wenn es darum gehe, die Führungsebene von Investitionen in Migrationsprojekte zu überzeugen.
Ein Kommentator merkte an, dass der Nachweis von Systemschwächen oft erfordere, Entscheidungsträgern greifbare Beweise zu präsentieren – etwa ihr eigenes geknacktes Passwort. Die Rainbow Tables böten raffinierten Angreifern, die vermutlich bereits über ähnliche Fähigkeiten verfügen, kaum Vorteile. Für die Argumentation gegen den weiteren Einsatz von NTLMv1 könnten sie jedoch durchaus hilfreich sein.
Mandiant hat grundlegende Anleitungen für Organisationen veröffentlicht, die Net-NTLMv1 deaktivieren möchten, samt Links zu detaillierteren Migrationsanweisungen. Das Unternehmen empfiehlt sofortiges Handeln und legt nahe, dass Organisationen, die aufgrund des fortgesetzten NTLMv1-Einsatzes Sicherheitsvorfälle erleiden, die Verantwortung für die Folgen tragen würden.