Das Verständnis des NTLM-Relaying-Konzepts ist für jeden, der sich mit Cybersicherheit beschäftigt, unerlässlich. Es verdeutlicht einige der bestehenden Schwachstellen in den weit verbreiteten Netzwerksicherheitsprotokollen, die in vielen Systemen weltweit eingesetzt werden. NTLM, die Abkürzung für NT LAN Manager, bezeichnet eine Reihe von Sicherheitsprotokollen, die von Microsoft zur Authentifizierung in ihren Softwaresystemen entwickelt wurden. NTLM-Relaying hingegen ist eine Angriffsart, bei der eine synthetische Authentifizierung erstellt und Informationen von einem System an ein anderes übertragen werden.
NTLM-Relaying beginnt, wenn sich ein Angreifer in eine Kommunikation zwischen zwei Parteien einklinkt, indem er eine Partei (den Client) davon überzeugt, die andere Partei (den Server) zu sein. Der Angreifer gaukelt dem Client vor, mit dem Server zu kommunizieren. Sobald der Client seine Anmeldeinformationen (Benutzername und gehashtes Passwort) sendet, fängt der Angreifer diese Daten ab und authentifiziert sich damit gegenüber dem Server. Der Server wiederum bestätigt die Verbindung des Angreifers, da er ihn für den ursprünglichen Client hält.
Wie funktioniert NTLM-Relaying?
Der NTLM-Relaying-Prozess umfasst drei Schritte: Abfangen, Weiterleiten und Sitzungsaufbau. Zunächst muss sich ein Angreifer in die Kommunikation zwischen Client (dem zugriffsauffordernden Rechner) und Server (dem zugriffsgewährenden Rechner) einklinken. Diese Abfangphase wird auch als MITM-Angriff (Man-in-the-Middle-Angriff) bezeichnet.
Anschließend übermittelt der Angreifer während der Weiterleitungsphase die abgefangenen Zugangsdaten an den Server und gibt sich dabei als Client aus. Schließlich baut er in der Sitzungsaufbauphase eine Sitzung mit dem Server auf und verwendet dabei die übermittelten Zugangsdaten. Ab diesem Zeitpunkt verfügt der Angreifer über dieselben Zugriffsrechte wie der Client, dessen Zugangsdaten abgefangen und weitergeleitet wurden.
Die Schwachstellen von NTLM
NTLM-Relaying nutzt die im NTLM-Protokoll inhärenten Schwachstellen aus. NTLM verwendet einen dreistufigen Handshake-Prozess zur Authentifizierung. Obwohl dieser Prozess auf den ersten Blick sicher erscheinen mag, stellt seine Anfälligkeit für Relay-Angriffe eine Sicherheitslücke dar. Dem Handshake-Prozess fehlt die gegenseitige Authentifizierung, eine Funktion, die es Server und Client ermöglicht, sich gegenseitig zu authentifizieren. Aufgrund dieser fehlenden Authentifizierung kann ein Angreifer sich gegenüber einem Client leicht als legitimer Server ausgeben oder umgekehrt.
Wie lässt sich NTLM-Relaying verhindern?
Es gibt verschiedene Verteidigungsstrategien, mit denen Sie Ihre Systeme vor NTLM-Relaying schützen können. Eine wesentliche Strategie ist die Verwendung von SMB-Signaturen (Server Message Block). SMB-Signaturen gewährleisten die Integrität der Datenpaketübertragung zwischen Client und Server. Sie erfordern, dass die Pakete vom Absender signiert werden. Dadurch wird die Wahrscheinlichkeit eines erfolgreichen Paket-Relays durch einen Angreifer verringert, da dieser die erforderlichen Signaturen nicht fälschen kann.
Eine weitere wertvolle Strategie ist die Erzwingung der LDAP-Signatur (Lightweight Directory Access Protocol) und von LDAPS (LDAP über SSL). Diese Strategie verringert die Erfolgsrate von NTLM-Relay-Angriffen, indem sie die Sicherheit der Datenübertragung zwischen Domänencontrollern und LDAP-Servern erhöht.
Bestimmte Funktionen in aktualisierten Windows-Versionen, wie EPA (Extended Protection for Authentication) und MIC (Message Integrity Code), bieten zusätzlichen Schutz vor NTLM-Relay-Angriffen. EPA stellt sicher, dass Kanalbindungstoken in die NTLM-Authentifizierungsanfragen einbezogen werden. MIC hingegen gewährleistet die Integrität des Authentifizierungsprozesses.
Abschluss
Zusammenfassend lässt sich sagen, dass NTLM-Relaying eine subtile, aber dennoch gravierende Bedrohung für die Netzwerksicherheit darstellt, da es die Schwachstellen der NT LAN Manager-Protokolle ausnutzt. Für Cybersicherheitsexperten ist es unerlässlich, diese Schwachstellen zu verstehen und wirksame Maßnahmen zu deren Behebung zu entwickeln. Proaktive Maßnahmen können die Erfolgsquote solcher Angriffe erheblich reduzieren. Dazu gehören unter anderem die Implementierung von SMB-Signaturen, die Durchsetzung von LDAP-Signaturen und LDAPS sowie die Nutzung von Sicherheitsfunktionen wie EPA und MIC. Da NTLM-Relaying weiterhin eine Sicherheitsherausforderung in der IT-Welt darstellt, ist die Beherrschung der entsprechenden Abwehrtechniken entscheidend für eine robuste und undurchdringliche Netzwerksicherheit.