Der NTLM-Relay-Angriff stellt eine erhebliche Bedrohung für Unternehmen dar, die Active Directory verwenden. Dieser Angriff nutzt das NT LAN Manager (NTLM) Authentifizierungsprotokoll aus, einen Challenge-Response-Mechanismus, der in Windows-Netzwerken für die Benutzerauthentifizierung verwendet wird. NTLM-Relay-Angriffe sind nicht nur ein Relikt vergangener Sicherheitsprobleme, sondern ein aktuelles und aktives Risiko.
Weiterführende Lektüre: Bewährte Praktiken für die Active Directory-Sicherheit
Angriffe wie PetitPotam nutzen NTLM-Relay, um die Sicherheit von Unternehmen zu bedrohen. Um diese anhaltende Bedrohung abzuschwächen, müssen Unternehmen rigorose Sicherheitsmaßnahmen anwenden. Lesen Sie weiter, um mehr über NTLM-Relay-Angriffe zu erfahren: wie sie funktionieren, welche Risiken sie darstellen, wie man sie erkennt und wie man sich gegen sie verteidigt.
Was ist NTLM?
NTLM ist seit langem eine wichtige Stütze der Windows-Authentifizierung. NTLM wurde für Geschwindigkeit und Abwärtskompatibilität entwickelt und erleichtert die Netzwerkauthentifizierung, wenn Kerberos, eine sicherere Alternative, nicht verwendet werden kann. Viele Netzwerke unterstützen und verwenden NTLM noch immer aus Gründen der Abwärtskompatibilität und der Interoperabilität mit älteren Systemen und Anwendungen, die keine neueren Authentifizierungsmethoden wie Kerberos unterstützen.
Was ist ein NTLM-Relay-Angriff?
Ein NTLM-Relay-Angriff macht sich das Design des NTLM-Protokolls zunutze. NTLM verfügt über keine gegenseitige Authentifizierung und ist daher anfällig für Man-in-the-Middle-Angriffe, einschließlich eines NTLM-Relay-Angriffs.
Bei dieser Art von Angriff fängt ein Angreifer eine NTLM-Authentifizierungssitzung ab. Der Angreifer gibt dann die erbeuteten Anmeldedaten weiter, um sich bei anderen Diensten zu authentifizieren und nutzt so die Identität des Benutzers.
Das NTLM-Protokoll bietet keinen inhärenten Schutz gegen das Abfangen oder Weiterleiten von Anmeldeinformationen. Ohne zusätzliche Sicherheitsmechanismen, wie SMB-Signierung oder Extended Protection for Authentication, kann ein Angreifer NTLM-Nachrichten an andere Server und Dienste im Netzwerk weiterleiten. Der Angreifer kann dieses Verhalten ausnutzen, um unbefugte Aktionen durchzuführen, vom Zugriff auf sensible Daten bis zur Ausführung von Befehlen mit den Rechten des kompromittierten Kontos.
Die Verbreitung von gemischten Umgebungen, die sowohl NTLM als auch sicherere Protokolle verwenden, vergrößert die Angriffsfläche für Angreifer. Sobald sie in Ihr Netzwerk eingedrungen sind, können Angreifer die AD-Vertrauensbeziehungen ausnutzen, um ihre Privilegien zu erweitern. Diese Bedrohung nimmt zu, wenn Netzwerkkonfigurationen und die strikte Einhaltung von Sicherheitsrichtlinien aufgrund von betrieblichen Anforderungen, Komplexität oder mangelndem Bewusstsein inkonsistent sind oder übersehen werden.
Angreifer nutzen einen NTLM-Relay-Angriff oft zusammen mit anderen Techniken wie Phishing oder Malware, um sich einen ersten Zugang zu verschaffen oder ihre Position in einem System zu stärken. Die Kombination dieser Methoden kann dazu führen, dass NTLM-Relay-Angriffe zu einem Bestandteil raffinierterer und gezielterer Angriffe werden.
Die Bedrohung wird auch durch die leichte Verfügbarkeit vieler automatisierter Tools und Skripte zur Ausnutzung von NTLM-Schwachstellen verstärkt. Daher können Angreifer einen NTLM-Relay-Angriff durchführen, ohne dass sie über tiefgreifende technische Kenntnisse des zugrunde liegenden Protokolls verfügen müssen.
Wie funktioniert ein NTLM-Relay-Angriff?
Der Angriff beginnt damit, dass der Angreifer sich strategisch im Netzwerk positioniert, um den Authentifizierungsverkehr zwischen einem Client und einem Server zu überwachen und abzufangen. Der Angriff macht sich die Tatsache zunutze, dass die NTLM-Authentifizierung eine Authentifizierungssitzung nicht von vornherein an einen bestimmten Kanal bindet. Dieses Verhalten ermöglicht es dem Angreifer, die Anmeldeinformationen auf einen anderen Server oder Dienst innerhalb des Netzwerks umzuleiten.
Ein NTLM-Relay-Angriff geht in der Regel folgendermaßen vor sich.
- Abfangen. Der Angreifer verwendet Techniken wie ARP Poisoning, um sich in den Kommunikationsstrom einzuschleusen und den Versuch eines Clients, sich bei einem Server zu authentifizieren, abzufangen.
- Weiterleiten. Der Angreifer leitet die Authentifizierungsanfrage des Clients aktiv an einen anderen Server oder Dienst innerhalb des Netzwerks weiter.
- Missbrauch von Zugangsdaten. Nachdem der Zielserver die Anmeldeinformationen des Clients erhalten hat, verarbeitet er die Anfrage so, als ob es sich um einen legitimen Versuch des Clients handeln würde. Der Server gibt ein Session-Token oder eine Zugriffsberechtigung zurück, die der Angreifer abfängt.
- Unbefugter Zugriff. Mithilfe des Sitzungs-Tokens oder der Zugangsdaten greift der Angreifer auf den Zielserver oder -dienst mit denselben Rechten zu wie das Opfer. Diese Rechte können dem Angreifer den Zugriff auf Dateifreigaben, Datenbanken oder andere sensible Ressourcen ermöglichen.
Welche Risiken sind mit einem NTLM-Relay-Angriff verbunden?
Die potenziellen Risiken eines NTLM-Relay-Angriffs sind tiefgreifend.
- Privilegienerweiterung. Angreifer können erhöhte Privilegien erlangen, wenn die weitergegebenen Anmeldeinformationen die erforderliche Zugriffsebene haben.
- Datenschutzverletzung. Der Zugriff auf sensible Daten innerhalb des Netzwerks kann zu Datendiebstahl oder -verlust führen.
- Seitliche Bewegung. Angreifer können sich innerhalb des Netzwerks seitlich bewegen, weitere Systeme kompromittieren und die Voraussetzungen für weitere Angriffe oder anhaltende Bedrohungen schaffen.
Zu den Beispielen aus der Praxis gehören Fälle, in denen Angreifer einen Benutzer mit hohen Privilegien kompromittiert und NTLM-Relay verwendet haben, um Befehle auszuführen, die den Angreifern dauerhaften Zugang zum Netzwerk gewähren.
Wer ist anfällig für einen NTLM-Relay-Angriff?
Zu den Systemen, die für einen NTLM-Relay-Angriff besonders anfällig sind, gehören:
- Netzwerke, die Single Sign-On (SSO) verwenden und in denen NTLM noch im Einsatz ist
- Umgebungen, in denen die SMB-Signierung deaktiviert oder nicht erzwungen ist
- Server und Anwendungen, die keine Kanalbindung oder Sitzungsschutz benötigen
Wie können Sie einen NTLM-Relay-Angriff erkennen?
Um einen NTLM-Relay-Angriff zu erkennen, sollten Sicherheitsexperten die folgenden Schritte unternehmen:
- Überwachen Sie auf ungewöhnliche NTLM-Verkehrsmuster.
- Achten Sie auf Anzeichen von ARP-Poisoning oder Netzwerk-Spoofing.
- Verwenden Sie Intrusion Detection Systeme, um anomale Authentifizierungsanfragen zu erkennen.
- Setzen Sie fortschrittliche Bedrohungsanalysen ein, um Seitwärtsbewegungen oder Privilegienerweiterungen zu erkennen, die auf einen Relay-Angriff hindeuten könnten.
Wie können Sie sich gegen einen NTLM-Relay-Angriff schützen?
Wenn Sie die Mechanismen eines NTLM-Relay-Angriffs verstehen und proaktive Maßnahmen zur Sicherung Ihres Netzwerks ergreifen, können Sie die Bedrohung durch diese dauerhafte Schwachstelle erheblich reduzieren. Die Entschärfung eines NTLM-Relay-Angriffs umfasst diese Schritte:
- Erzwingen Sie die SMB-Signierung, um das Abfangen von NTLM-Authentifizierungsnachrichten zu verhindern.
- Deaktivieren Sie die NTLM-Authentifizierung, wo immer dies möglich ist, zugunsten von sichereren Protokollen wie Kerberos.
- Implementieren Sie eine Netzwerksegmentierung, um seitliche Bewegungen einzuschränken.
- Verwenden Sie die Sicherheitsgruppe Geschützte Benutzer und andere Credential Guard-Funktionen, um die Gefährdung durch Zugangsdaten zu reduzieren.
Active Directory-Administratoren können auch die folgenden Schritte unternehmen:
- Überprüfen Sie Ihr Netzwerk, um sicherzustellen, dass die SMB-Signierung auf allen Geräten aktiviert ist.
- Konfigurieren Sie Active Directory so, dass NTLM-Authentifizierungsanfragen aus nicht vertrauenswürdigen Netzwerken zurückgewiesen werden.
- Überwachen, patchen und aktualisieren Sie Ihre Systeme regelmäßig, um bekannte Schwachstellen zu beseitigen. Was Active Directory betrifft, kann ein Tool wie Semperis Directory Services Protector nach Schwachstellen suchen und diese schließen und sogar die Beseitigung verdächtiger Änderungen in der Active Directory-Umgebung automatisieren.
- Klären Sie die Benutzer darüber auf, dass es wichtig ist, Anmeldedaten nicht über verschiedene Zugangspunkte hinweg zu verwenden.
Bleiben Sie wachsam gegenüber Cyberangriffen
Ein NTLM-Relay-Angriff stellt eine ernsthafte Bedrohung für Netzwerke dar. Trotz seines Alters wird NTLM in vielen Unternehmensumgebungen weiterhin verwendet, insbesondere in Systemen, die nicht auf moderne Authentifizierungsprotokolle wie Kerberos umgestellt wurden. Das Fortbestehen von NTLM in Netzwerken, das oft auf ältere Anwendungen oder Geräte zurückzuführen ist, die es erfordern, öffnet Tür und Tor für NTLM-Relay-Angriffe, die inhärente Schwächen des Authentifizierungsprotokolls ausnutzen.
Außerdem können NTLM-Relay-Angriffe besonders gefährlich sein, wenn sie mit anderen Angriffen kombiniert werden. So kann ein Angreifer, der sich über eine Phishing-Kampagne Zugang zu einem Netzwerk verschafft, die NTLM-Relay-Taktik nutzen, um seine Privilegien zu erhöhen und sich seitlich im Netzwerk zu bewegen, was zu einer Vielzahl von bösartigen Aktivitäten führt.
Durch das Abfangen und Weiterleiten von Authentifizierungsnachrichten können sich Angreifer unbefugten Zugriff auf Netzwerkressourcen verschaffen, ihre Privilegien ausweiten und möglicherweise erheblichen Schaden anrichten. Die Erkennung und Eindämmung von Angriffen erfordert robuste Sicherheitsvorkehrungen wie Netzwerküberwachung, Benutzerschulung und den Einsatz sicherer Authentifizierungsprotokolle.
Active Directory-Administratoren müssen besonders wachsam bleiben. Setzen Sie bewährte Verfahren zum Schutz vor Schwachstellen und zur Gewährleistung der Integrität und Sicherheit des Identitätsdienstes ein. Und wenn möglich, implementieren Sie Lösungen zur Erkennung von und Reaktion auf Identitätsbedrohungen (ITDR), die die Überwachung von Active Directory vereinfachen und Ihre Verteidigung sowohl gegen menschliche Fehler als auch gegen heimliche Cyberangriffe automatisieren.
