Eine kürzlich entdeckte Zero-Day-Schwachstelle in Windows ermöglicht es Angreifern, NTLM-Anmeldeinformationen zu stehlen, indem sie Benutzer dazu verleiten, eine bösartige Datei im Windows Explorer anzuzeigen. Die vom 0patch-Team identifizierte Schwachstelle betrifft alle Windows-Versionen von Windows 7 und Server 2008 R2 bis hin zu Windows 11 24H2 und Server 2022 und macht Unternehmen anfällig für identitätsbasierte Angriffe. Obwohl diese Technik unter Pentestern und Sicherheitsexperten seit Jahren bekannt ist, unterstreicht die jüngste Veröffentlichung durch das 0patch-Team die Dringlichkeit für Unternehmen, sich mit den Risiken zu befassen, die von veralteten Protokollen wie NTLM ausgehen.
Verständnis der Schwachstelle Diese Zero-Day-Schwachstelle macht sich zunutze, wie Windows die NTLM-Authentifizierung handhabt. Sie erfordert nur eine minimale Interaktion des Benutzers - das bloße Anzeigen einer bösartigen Datei im Datei-Explorer reicht aus, um die Schwachstelle auszulösen. Dies kann in verschiedenen Szenarien geschehen, beispielsweise beim Zugriff auf einen freigegebenen Ordner, beim Einstecken eines USB-Laufwerks oder beim Öffnen des Ordners "Downloads". Wenn die bösartige Datei angezeigt wird, zwingt der Exploit das System des Benutzers dazu, eine NTLM-Authentifizierungsanforderung an einen entfernten Standort zu initiieren. Dabei werden NTLM-Hashes des angemeldeten Benutzers gesendet, die Angreifer knacken können, um das Klartextkennwort des Benutzers zu ermitteln. Diese gestohlenen Anmeldedaten können dann verwendet werden, um die Privilegien zu erweitern, sich seitlich zu bewegen oder auf sensible Ressourcen zuzugreifen.
Obwohl die Schwächen von NTLM seit Jahrzehnten bekannt sind, verlassen sich viele Unternehmen noch immer darauf, da es tief in kritische Prozesse integriert ist, was einen sofortigen Ersatz zu einer Herausforderung macht. Dies unterstreicht die Notwendigkeit proaktiver Abhilfestrategien und langfristiger Pläne für den Übergang zu sichereren Authentifizierungsprotokollen.
Fehlen einer offiziellen Lösung
Trotz der beträchtlichen Risiken, die von dieser Sicherheitslücke ausgehen, hat sie noch keine offizielle CVE-Kennzeichnung (Common Vulnerabilities and Exposures) oder einen Fix von Microsoft erhalten. Nach der Umgehung der "Mark of the Web"-Schwachstelle und einer Sicherheitslücke in Windows Themes, die Anfang des Jahres gemeldet wurde, ist dies die dritte Zero-Day-Schwachstelle, die das 0patch-Team aufgedeckt hat und die Microsoft noch nicht behoben hat. Andere Probleme im Zusammenhang mit NTLM, wie PetitPotam und PrinterBug, sind in aktuellen Windows-Versionen ebenfalls noch nicht behoben.
Warum diese Schwachstelle immer noch wichtig ist
Obwohl die Schwächen von NTLM gut dokumentiert sind und seine Verwendung seit Jahrzehnten kritisiert wird, verlassen sich viele Unternehmen weiterhin auf dieses Protokoll. Dies liegt oft daran, dass das Protokoll tief in kritische Prozesse integriert ist, was den Austausch komplex und zeitaufwändig macht. Da Angreifer jedoch zunehmend ältere Schwachstellen ausnutzen, werden die Kosten der Untätigkeit immer höher. Diese Sicherheitslücke erinnert daran, dass selbst bekannte Schwachstellen gefährlich bleiben können, wenn sie nicht behoben werden. Unternehmen müssen die Herausforderung, Altsysteme zu ersetzen, mit der dringenden Notwendigkeit abwägen, ihre Umgebungen zu sichern. Auch wenn ein sofortiger Ersatz von NTLM nicht möglich ist, kann die Einführung von fortschrittlichen Erkennungs- und Reaktionslösungen einen wichtigen Schutz gegen den Diebstahl von Anmeldeinformationen und seitliche Bewegungen bieten.
Wie Vectra AI helfen kann
Vectra AI bietet robusten Schutz vor identitätsbasierten Bedrohungen, indem es Attack Signal Intelligence™ nutzt, um identitätsbasierte Angriffe zu erkennen und zu stoppen. Vectra AIDie Identity Threat Detection and Response (ITDR)-Lösung ist darauf ausgelegt, identitätsbasierte Angriffe zu erkennen und zu stoppen, einschließlich solcher, die auf NTLM-Anmeldedaten abzielen.
- Erkennung des Missbrauchs von Anmeldeinformationen: Vectra AI konzentriert sich darauf, zu verstehen, wie Angreifer gestohlene Anmeldeinformationen verwenden, um ihre Ziele zu erreichen, und nicht nur auf die Methoden, mit denen sie gestohlen werden. Dieser Ansatz ermöglicht die Erkennung verschiedener Techniken zum Missbrauch von Anmeldeinformationen, wie z. B. Pass the Hash und Pass the Ticket, die häufig nach dem Erhalt von NTLM-Hashes verwendet werden.
- Überwachung identitätsbasierter Angriffe: Unsere Plattform bietet eine umfassende Abdeckung für Angreifer, die es auf Anmeldeinformationen und Identitätsspeicher abgesehen haben und Techniken wie Kerberoasting, DCSync und betrügerische LDAP-Abfragen verwenden. Durch die kontinuierliche Überwachung verdächtiger identitätsbezogener Aktivitäten kann Vectra AI Sicherheitsteams vor potenziellen Angriffsversuchen warnen.
- Attack Signal IntelligenceVectra AI nutzt Attack Signal Intelligence™, um zwischen gutartigen Aktivitäten und echten Bedrohungen zu unterscheiden, und konzentriert sich dabei auf Signale, die auf reales Angreiferverhalten hinweisen. Durch die Analyse der Art und Weise, wie Angreifer mit Systemen interagieren, identifiziert Vectra AI unberechtigte Zugriffsversuche und laterale Bewegungen, die von Schwachstellen wie dem NTLM-Exploit herrühren, und hilft Sicherheitsteams, sich auf das Wesentliche zu konzentrieren.
- Verringerung der Alarmmüdigkeit: Durch die Korrelation der Identitätserfassung mit umfassenderen Netzwerk- und cloud -Aktivitäten minimiert Vectra AI Fehlalarme, verschafft Klarheit über das tatsächliche Verhalten von Angreifern und verringert die Alarmmüdigkeit von Sicherheitsanalysten.
Schützen Sie Ihr Unternehmen noch heute
Verlassen Sie sich immer noch auf veraltete Protokolle wie NTLM? Jetzt ist es an der Zeit, Ihr Unternehmen zu schützen. Sehen Sie, wie Vectra AImit Attack Signal Intelligence™ Bedrohungen wie den Diebstahl von NTLM-Anmeldeinformationen erkennen und stoppen kann, bevor sie Schaden anrichten.
Fordern Sie noch heute eine Demo an und erfahren Sie, wie Vectra AI Ihren Schutz vor sich entwickelnden Cyber-Bedrohungen stärkt.