Wenn Sie glauben, dass Sie NTLMv1 in Ihrer Organisation blockiert haben, denken Sie noch einmal darüber nach. SilverfortDas Forschungsteam von hat kürzlich entdeckt, dass Angreifer die Gruppenrichtlinie umgehen, die NTLMv1 deaktivieren soll, wodurch unsichere Authentifizierungen bestehen bleiben Active Directory Umgebungen. Diese wichtigen Erkenntnisse verdeutlichen eine kritische Lücke: Selbst wenn Unternehmen glauben, ihre Systeme gesichert zu haben, bleibt NTLMv1 eine versteckte Hintertür für den Diebstahl von Anmeldeinformationen. lateraler Bewegung ausnutzen und Privilegienerweiterung. Mit über 64 % der Active Directory Obwohl NTLMv1 trotz seiner bekannten Schwächen weiterhin Konten mit NTLM-Protokollen authentifiziert, stellt es weiterhin ein ernstes Risiko dar. TL; DR News: SilverfortDas Forschungsteam von hat einen neuen Weg für Angreifer entdeckt, - NTLMv1 bei Angriffen, trotz der Bemühungen, es zu deaktivieren. Durch eine Fehlkonfiguration in On-Premise-Anwendungen können Angreifer die Gruppenrichtlinie zum Stoppen von NTLMv1 Authentifizierungen. Warum es darauf ankommt: 64% der Active Directory Benutzerkonten authentifizieren sich regelmäßig mit NTLM, obwohl es bekannte Schwächen hat und von Microsoft abgelehnt wird. Viele Organisationen versuchten, das NTLMv1-Problem mit einem Active Directory Gruppenrichtlinie. Wir haben jedoch festgestellt, dass diese Richtlinie fehlerhaft ist und NLTMv1-Authentifizierungen weiterhin zulässt, was ein falsches Gefühl der Sicherheit vermittelt und Unternehmen ungeschützt lässt. Angreifer wissen, dass NTLMv1 eine schwache AD-Authentifizierung Protokoll und suchen Sie aktiv danach, um sich seitwärts zu bewegen oder Privilegien zu erhöhen. Wer ist betroffen: Jede Organisation, die Anwendungen von Drittanbietern oder selbst entwickelte Anwendungen vor Ort verwendet und die nicht ausschließlich Windows-Rechner verwendet. Wenn sich beispielsweise ein Mac-Computer mit einer Bankanwendung verbindet, könnte dies gefährdet sein. Auswirkungen auf Organisationen: Ein Angreifer, der sich in einem Netzwerk befindet, kann den NTLMv1-Verkehr sehen und die Anmeldeinformationen der Benutzer offline knacken, was die Tür für seitliche Bewegungen öffnet und Privilege-Escalation-Angriffe Unser POC emuliert eine Anwendung, die die Umzäunung umgeht, und bestätigt, dass diese Fehlkonfiguration einem Angreifer einen Vorteil verschafft. Ergebnis der Offenlegung: Während das Microsoft Security Response Center (MSRC) die NTLMv1 Obwohl die Umgehung keine Sicherheitslücke darstellt, haben sie proaktive Maßnahmen zur Verbesserung der Sicherheit ergriffen und die vollständige Entfernung von NTLMv1 innerhalb von zwei Monaten nach unserer Offenlegung angekündigt, beginnend mit Windows 11 Version 24H2 und Windows Server 2025. Wir haben vor Kurzem ein Webinar veranstaltet, in dem ich die Teilnehmer detaillierter durch die Forschungsergebnisse führte und ihnen zeigte, wie man NTLMv1-Authentifizierungen ohne Patch abschwächen kann. Sie können dieses Webinar hier auf Abruf ansehen. On-Demand-Webinar Aufdeckung von NTLMv1-Sicherheitslücken: Risiken und Strategien zur Risikominderung in Active Directory Umgebungen. Schau es hier an Zusammenfassung und Schadensbegrenzung Trotz seiner historischen Bedeutung stellt NTLM ein erhebliches Sicherheitsrisiko dar. Seine veralteten kryptografischen Methoden, gut dokumentierten Schwächen und das Fehlen moderner Sicherheitsfunktionen (wie MFA und Server-Identitätsüberprüfung) machen es zu einem attraktiven Ziel für Angreifer. NTLMv1-Hashes können abgefangen und verwendet werden für AD-Authentifizierung Relay-Angriffe oder sogar Wörterbuchangriffe, die Angreifern unbefugten Zugriff auf sensible Systeme ermöglichen. In den letzten Monaten wurden neue NTLM-Schwachstellen bekannt, einschließlich eines Zero-Day. In jüngerer Zeit, CyberSky entdeckt eine NTLM-Schwachstelle, die von russischen Bedrohungsakteuren als Teil einer Angriffskette ausgenutzt wird, die die Open-Source- Spark RAT Malware. Viele Organisationen nutzen proaktiv den Gruppenrichtlinienmechanismus von Microsoft, um NTLMv1 stoppen, in der Annahme, dass dies sie vor unsicheren NTLMv1-Authentifizierungen schützt. Unsere Untersuchungen zeigen jedoch, dass On-Premise-Anwendungen so konfiguriert werden können, dass NTLMv1 aktiviert wird, wodurch die höchste Authentifizierungsstufe des Group Policy LAN Managers in Active Directory . Organisationen denken, sie tun das Richtige, indem sie diese Gruppenrichtlinie festlegen, aber sie wird trotzdem von der falsch konfigurierten Anwendung umgangen. Solange Anwendungen nicht für die Authentifizierung mit NTLMv1 konfiguriert werden können, wird das Problem bestehen bleiben. At Silverforthaben wir in unserem Kundenstamm viele Versuche zur Authentifizierung über NTLMv1 beobachtet. Wir arbeiten eng mit unseren Kunden zusammen, um die Nutzung von NTLMv1 abzubilden und zu erkennen und risikobasierte Zäune anwenden um das Risiko einer Kompromittierung zu verringern. Ohne ein...