Das Forschungsteam von Silverfort hat eine Schwachstelle im Active Directory Group Policy-Mechanismus entdeckt, der ursprünglich dazu gedacht ist, NTLMv1-Authentifizierungen vollständig zu deaktivieren. Aufgrund einer einfachen Fehlkonfiguration können Angreifer jedoch diese Richtlinie umgehen und weiterhin NTLMv1 nutzen, selbst wenn die höchsten Sicherheitseinstellungen aktiviert sind.
NTLMv1, ein veraltetes und unsicheres Authentifizierungsprotokoll, ist nach wie vor in vielen Organisationen verbreitet. Laut Silverfort verwenden 64 % der Active Directory-Benutzerkonten regelmäßig NTLM, trotz der bekannten Schwächen und der Abkündigung durch Microsoft. Diese Schwachstelle betrifft insbesondere Organisationen, die Drittanbieteranwendungen oder individuell entwickelte On-Premise-Anwendungen einsetzen.
Durch die Umgehung der Gruppenrichtlinie können Angreifer NTLMv1-Hashes abfangen und offline entschlüsseln, was zu lateralem Netzwerkbewegungen und Privilegieneskalation führen kann. Microsoft hat nach der Offenlegung von Silverfort zwar angekündigt, NTLMv1 ab Windows 11 Version 24H2 und Windows Server 2025 vollständig zu entfernen, klassifiziert die Schwachstelle jedoch nicht als eigenständige Sicherheitslücke.
Um das Risiko zu minimieren, empfiehlt Silverfort folgende Maßnahmen:
- Aktivierung von Protokollierungsfunktionen für alle NTLM-Authentifizierungen.
- Erstellung einer Übersicht aller NTLM-verwendenden Anwendungen.
- Identifikation und Absicherung anfälliger Anwendungen mit modernen Authentifizierungsmethoden wie Kerberos.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: