The second zero-day vulnerability found in Windows NTLM in the past two months paves the way for relay attacks and credential theft. Microsoft has no patch, but released updated NTLM cyberattack mitigation advice.
Microsoft hat eine neue Anleitung für Unternehmen veröffentlicht, wie NTLM-Relay-Angriffe standardmäßig entschärft werden können. Dies geschah einige Tage, nachdem Forscher berichteten, dass ein Zero-Day zur Offenlegung von NTLM-Hash-Werten in allen Versionen von Windows Workstation und Server, von Windows 7 bis zu den aktuellen Windows 11-Versionen, gefunden wurde.
Es war jedoch nicht sofort klar, ob die beiden Entwicklungen miteinander zusammenhängen oder rein zufällig in Bezug auf den Zeitpunkt sind. In jedem Fall wird erwartet, dass der Fehler, der noch keine CVE- oder CVSS-Bewertung hat, erst in einigen Monaten gepatcht wird.
Windows NTLM Zero-Day ermöglicht Diebstahl von Zugangsdaten
Forscher von ACROS Security berichten Auffinden eines Zero-Day-Bugs in allen unterstützten Windows-Versionen. Der Fehler ermöglicht es einem Angreifer, die NTLM-Anmeldeinformationen eines Benutzers abzugreifen, indem er den Benutzer dazu bringt, eine bösartige Datei über das Dateiverwaltungsprogramm Windows Explorer anzuzeigen.
“Opening a shared folder or USB disk with such file or viewing the Downloads folder where such file was previously automatically downloaded from attacker’s Web page” is all it takes for credential compromise, Mitja Kolsek, CEO of ACROS Security schrieb in einem Blogeintrag.
ACROS sagte, es werde keine weiteren Informationen über den Fehler veröffentlichen, bis Microsoft eine Lösung für den Fehler gefunden hat. Aber Kolsek sagt gegenüber Dark Reading, dass die Fähigkeit eines Angreifers, den Fehler auszunutzen, von verschiedenen Faktoren abhängt.
"Es ist nicht einfach herauszufinden, wo die Schwachstelle ausgenutzt werden kann, ohne dass man versucht, sie auszunutzen", erklärt er. Microsoft hat die Schwachstelle als mittelschwer oder "wichtig" eingestuft, eine Einstufung, die eine Stufe niedriger ist als die von "kritischen" Fehlern. Laut Kolsek plant das Unternehmen, im April ein Update für diese Schwachstelle zu veröffentlichen.
Ein Microsoft-Sprecher erklärte in einer E-Mail, das Unternehmen sei sich des Berichts bewusst und werde die erforderlichen Maßnahmen ergreifen, um die Kunden zu schützen.
Der Fehler ist der zweite NTLM-Zero-Day, den ACROS seit Oktober an Microsoft gemeldet hat. Der vorherige Fehler betraf eine Windows Themes Spoofing-Problem und ermöglichte es Angreifern, Opfergeräte dazu zu zwingen, NTLM-Authentifizierungs-Hashes an vom Angreifer kontrollierte Geräte zu senden. Auch für diesen Fehler hat Microsoft noch keinen Patch veröffentlicht.
Die Fehler gehören zu mehreren Problemen im Zusammenhang mit NTLM, die in den letzten Jahren aufgetaucht sind, darunter PetitPotam, DFSCoerce, PrinterBug/SpoolSample, und seit kurzem auch eine, die die quelloffene Engine zur Durchsetzung von Richtlinien.
Gefahren des Legacy-Protokolls
Windows NTLM (NT LAN Manager) ist ein veraltetes Authentifizierungsprotokoll, das Microsoft aus Gründen der Abwärtskompatibilität in das moderne Windows integriert hat. Angreifer haben häufig Schwachstellen in diesem Protokoll ausgenutzt, um Authentifizierungsanfragen abzufangen und sie weiterzuleiten, um auf andere Server oder Dienste zuzugreifen, auf die die ursprünglichen Benutzer Zugriff haben.
In seinem Advisory von dieser Woche beschrieb Microsoft das NTLM-Relaying als eine "beliebte Angriffsmethode, die von Bedrohungsakteuren genutzt wird und eine Kompromittierung der Identität ermöglicht". Bei diesen Angriffen wird ein Opfer gezwungen, sich bei einem vom Angreifer kontrollierten Endpunkt zu authentifizieren und die Authentifizierung an einen anfälligen Zielserver oder -dienst weiterzuleiten. In der Empfehlung wird auf Schwachstellen hingewiesen, die Angreifer schon früher genutzt haben, wie z. B. CVE-2023-23397 in Outlook und CVE-2021-36942 in Windows LSA, um Dienste auszunutzen, die nicht gegen NTLM-Relaying-Angriffe geschützt sind.
Als Reaktion auf solche Angriffe hat Microsoft frühere Anleitungen zur Aktivierung von Erweiterter Schutz für die Authentifizierung (EPA) standardmäßig auf LDAP, AD CS und Exchange Server, so das Unternehmen. Der neueste Windows Server 2025 wird mit standardmäßig aktiviertem EPA für AD CS und LDAP ausgeliefert.
Das Advisory unterstreicht die Notwendigkeit für Unternehmen, EPA speziell für Exchange Server zu aktivieren, da Exchange Server eine einzigartige Rolle in der NTLM-Bedrohungslandschaft spielt". Das Unternehmen wies auf Folgendes hin CVE-2024-21413, CVE-2023-23397und CVE-2023-36563 als Beispiele für aktuelle Schwachstellen, die Angreifer für die NTLM-Erzwingung ausgenutzt haben. "Office-Dokumente und E-Mails, die über Outlook versendet werden, dienen Angreifern als effektive Einstiegspunkte für die Ausnutzung von NTLM-Zwangsschwachstellen, da sie UNC-Links einbetten können", so das Unternehmen.
Kolsek sagt, dass es unklar ist, ob Microsofts Ratschläge zum Schutz vor NTLM-Angriffen irgendetwas mit seiner jüngsten Fehlerenthüllung zu tun haben. "Aber wenn möglich, sollten Sie die Empfehlungen von Microsoft zur Behebung von NTLM-bezogenen Schwachstellen befolgen", sagt er. "Wenn nicht, sollten Sie 0patch in Betracht ziehen", fügt er hinzu und bezieht sich dabei auf die kostenlosen Mikropatches, die sein Unternehmen für Schwachstellen bereitstellt, insbesondere in älteren und nicht mehr unterstützten Softwareprodukten.
