NTLMv1 trotz Gruppenrichtlinie weiterhin nutzbar

Das Forschungsteam von Silverfort hat eine Schwachstelle im Active Directory Group Policy-Mechanismus entdeckt, der ursprünglich dazu gedacht ist, NTLMv1-Authentifizierungen vollständig zu deaktivieren. Aufgrund einer einfachen Fehlkonfiguration können Angreifer jedoch diese Richtlinie umgehen und weiterhin NTLMv1 nutzen, selbst wenn die höchsten Sicherheitseinstellungen aktiviert sind.

NTLMv1, ein veraltetes und unsicheres Authentifizierungsprotokoll, ist nach wie vor in vielen Organisationen verbreitet. Laut Silverfort verwenden 64 % der Active Directory-Benutzerkonten regelmäßig NTLM, trotz der bekannten Schwächen und der Abkündigung durch Microsoft. Diese Schwachstelle betrifft insbesondere Organisationen, die Drittanbieteranwendungen oder individuell entwickelte On-Premise-Anwendungen einsetzen.

Durch die Umgehung der Gruppenrichtlinie können Angreifer NTLMv1-Hashes abfangen und offline entschlüsseln, was zu lateralem Netzwerkbewegungen und Privilegieneskalation führen kann. Microsoft hat nach der Offenlegung von Silverfort zwar angekündigt, NTLMv1 ab Windows 11 Version 24H2 und Windows Server 2025 vollständig zu entfernen, klassifiziert die Schwachstelle jedoch nicht als eigenständige Sicherheitslücke.

Um das Risiko zu minimieren, empfiehlt Silverfort folgende Maßnahmen:

  • Aktivierung von Protokollierungsfunktionen für alle NTLM-Authentifizierungen.
  • Erstellung einer Übersicht aller NTLM-verwendenden Anwendungen.
  • Identifikation und Absicherung anfälliger Anwendungen mit modernen Authentifizierungsmethoden wie Kerberos.

Related Posts

PayPal-Betrug über M365 Testdomains

Sicherheitsforscher von Fortinet haben eine neue Betrugsmasche entdeckt, die PayPal-Nutzer täuscht und ohne typische Phishing-Methoden auskommt. Die Betrüger nutzen die offizielle PayPal-Plattform, um ihre Opfer hereinzulegen. Dabei erstellen sie eine kostenlose Microsoft 365-Testdomain und richten dort eine Verteilerliste mit vielen E-Mail-Adressen ein. Danach senden sie über PayPal eine Zahlungsaufforderung an diese Liste. Da die Nachricht direkt von PayPal kommt, wirkt sie echt. Viele Opfer klicken auf den Link in der E-Mail, um die Zahlung zu prüfen.

Read More

Kritische Schwachstellen in Ivanti Connect Secure, Policy Secure & ZTA Gateways (CVE-2025-0282, CVE-2025-0283)

Am 10. Januar 2025 veröffentlichte Ivanti Sicherheitsupdates für mehrere Produkte veröffentlicht, die eine kritische und eine hochgefährliche Schwachstelle beheben. Die betroffenen Systeme umfassen Ivanti Connect Secure, Policy Secure und die ZTA Gateways.

Read More

HPE untersucht möglichen Datendiebstahl nach Behauptungen eines Hackers

Hewlett Packard Enterprise (HPE) prüft derzeit Behauptungen der Hackergruppe IntelBroker, wonach sensible Daten aus den Entwicklerumgebungen des Unternehmens gestohlen wurden. Die Gruppe gibt an, Zugang zu HPEs API, WePay, GitHub-Repositories sowie Zertifikaten, Quellcodes und alten Nutzerdaten gehabt zu haben.

Read More