Was ist NTLMv1?

NTLMv1 (NT LAN Manager Version 1) ist ein Authentifizierungsprotokoll, das von Microsoft entwickelt wurde, um die Authentifizierung von Benutzern und Anwendungen in Windows-Netzwerken zu ermöglichen. Es wurde ursprünglich in Windows NT 3.1 eingeführt und war in verschiedenen Windows-Betriebssystemen bis Windows Server 2003 integriert. NTLMv1 dient vor allem der Authentifizierung in Umgebungen, die nicht auf Kerberos basieren, und wird häufig in Kombination mit SMB (Server Message Block) Protokollen verwendet.

Wie funktioniert NTLMv1?

Das NTLMv1-Protokoll verwendet ein dreistufiges Verfahren für die Authentifizierung:

1. Client Anforderung: Der Client fordert vom Server eine Authentifizierung.
2. Challenge-Sendung: Der Server sendet eine zufällige „Challenge“ (eine Art Herausforderung) an den Client.
3. Antwort vom Client: Der Client erstellt eine Antwort unter Verwendung seines Passworts und der erhaltenen Challenge und sendet diese an den Server zur Verifizierung.

Bei Erfolg erhält der Client Zugriff auf die angeforderten Ressourcen im Netzwerk.

Die Sicherheitsrisiken von NTLMv1

Obwohl NTLMv1 in der Vergangenheit ganz verbreitet war, ist es heutzutage als unsicher bekannt und es gibt mehrere Gründe, warum es nicht mehr verwendet werden sollte:

• Fehlende Verschlüsselung: NTLMv1 verschlüsselt die Authentifizierungsdaten nicht, was bedeutet, dass Angreifer sie leicht abfangen und entschlüsseln können.
• Kein Schutz vor Replay-Angriffen: Da NTLMv1 einfache Challenge/Response-Mechanismen nutzt, kann ein Angreifer Antworten wiederverwenden, um unautorisiert auf Ressourcen zuzugreifen.
• Wenig Unterstützung moderner Sicherheitspraktiken: NTLMv1 unterstützt keine modernen Authentifizierungsmethoden, wie Zwei-Faktoren-Authentifizierung (2FA).

Migration zu NTLMv2

Um das Sicherheitsniveau in einem Netzwerk zu erhöhen, sollten Unternehmen auf NTLMv2 (NT LAN Manager Version 2) umschwenken. NTLMv2 bietet verbesserte Sicherheitsfeatures, einschließlich:

• Verwendung von stärkerer Verschlüsselung für Passwort-Hashes.
• Verbesserte Authentifizierungsmechanismen mit verbesserter Herausforderung.
• Schutz gegen Replay-Angriffe durch differenzierte Anfragen.

Die Migration kann in mehreren Schritten durchgeführt werden:

1. Identifizieren von Systemen, die noch NTLMv1 verwenden.
2. Aktualisieren der Systeme auf NTLMv2 oder das entsprechende Windows-Betriebssystem.
3. Entwickeln und Implementieren eines Migrationsplans, einschließlich Tests und Validierungen.

Fazit

Die Verwendung von NTLMv1 wird aus sicherheitstechnischen Gründen dringend abgeraten. Es stellt nicht nur ein Sicherheitsrisiko dar, sondern kann auch gegen moderne Compliance-Anforderungen verstoßen. Unternehmen sollten bestrebt sein, auf NTLMv2 oder noch besser auf Kerberos-basierte Systeme umzusteigen, um die Integrität ihrer Netzwerke zu gewährleisten und sensible Daten zu schützen.

Ressourcen und Links

• Microsoft NTLM-Dokumentation
• Understanding NTLM Authentication - Cyber.gov.au
• OWASP NTLM Authentication Flows