Neue Tools für alte Probleme: Schwache Windows-Passwörter im Visier
Cybersicherheitsfirma Mandiant veröffentlicht frei zugängliche Rainbow Tables, mit denen sich veraltete NTLMv1-Admin-Passwörter schnell entschlüsseln lassen.
Die Entwickler von Mandiant haben eine grosse Sammlung von sogenannten Rainbow Tables veröffentlicht. Diese Datenbank besteht aus vorberechneten kryptografischen Werten und macht es möglich, veraltete Administrations-Passwörter des Windows-Protokolls Net-NTLMv1 zu entschlüsseln. Die Rainbow Table ist auf Google Drive frei zugänglich.
Was ist das Problem mit NTLMv1?
NTLMv1 ist ein Microsoft Authentifizierungsprotokoll aus den 1980er-Jahren. Bereits in den 1990er-Jahren gab es aber Analysen, die zeigten, dass das Protokoll Schwächen hat. 2012 gab es dann die Sicherheitskonferenzen DEFCON, an welcher der Standard endgültig als unsicher und somit unbrauchbar erklärt wurde. Microsoft selbst hat NTLMv1 schon vor einigen Jahren durch NTLMv2 ersetzt und 2022 offiziell angekündigt, die alte Version abzuschaffen. Trotzdem kommt NTLMv1 aus verschiedenen Gründen noch in manchen Netzwerken zum Einsatz. Mandiant will mit der Veröffentlichung der Tabellen zeigen, wie leicht Administrator-Passwörter der alten Art geknackt werden können. Sicherheitsexperten sehen darin ein Werkzeug für Tests und Audits für IT-Verantwortliche.
Es braucht weder teure Ausrüstung noch viel Zeit
Mandiant gibt an, dass sich mit den neuen Rainbow Tables ein administratives NTLMv1-Passwort innerhalb von weniger als zwölf Stunden rekonstruieren lässt. Dafür «braucht man keine teure Spezialhardware, sondern kann mit Hardware im Preisbereich von unter 600 US-Dollar arbeiten».
Die Rainbow Tables sind gezielt gegen Net-NTLMv1-Hashes einsetzbar. Diese können bei der Authentifizierung im Windows-Netzwerk zum Einsatz kommen. Sobald ein Angreifer einen gültigen Hash besitzt, etwa durch das Abfangen von Datenverkehr oder durch andere Tools zur Authentifizierungs-Erzwungung, kann er die Tabelle nutzen, um das dazugehörige Passwort zu finden.
Wie sollen die Verantwortlichen nun reagieren??
Mandiant empfiehlt Netzbetreibern, die Unterstützung für Net-NTLMv1 in ihren Systemen sofort zu deaktivieren und auf neuere Authentifizierungsmechanismen umzusteigen. Nur so lassen sich Netzwerke dauerhaft gegen derartige Angriffe absichern.
Seit ich herausgefunden habe, wie man bei der ISDN-Card beide Telefonkanäle für eine grössere Bandbreite aktivieren kann, bastle ich an digitalen Netzwerken herum. Seit ich sprechen kann, an analogen. Wahl-Winterthurer mit rotblauem Herzen.
Vom neuen iPhone bis zur Auferstehung der Mode aus den 80er-Jahren. Die Redaktion ordnet ein.
Alle anzeigen