Schwere Windows-10/11-Schwachstelle legt NTLM-Hashes durch Spoofing-Angriff offen (CVE-2024-21302)

Windows-10/11-Schwachstelle ermöglicht Offenlegung von NTLM-Hashes durch Spoofing-Angriffe

Sicherheitsforscher haben eine kritische Schwachstelle in Windows 10 und 11 entdeckt, die es Angreifern ermöglicht, NTLM-Hashes durch einen Spoofing-Angriff offenzulegen. Die als CVE-2024-21302 geführte Sicherheitslücke wurde auf der Exploit Database veröffentlicht und stellt ein erhebliches Risiko für Unternehmen dar, die auf Windows-Authentifizierungsmechanismen angewiesen sind.

Technische Details

Die Schwachstelle nutzt Schwächen im NTLM (NT LAN Manager)-Authentifizierungsprotokoll aus, einer veralteten, aber immer noch weit verbreiteten Methode für die Netzwerkauthentifizierung in Windows-Umgebungen. Angreifer können diese Sicherheitslücke ausnutzen, um:

• Legitime Dienste zu spoofen, um Benutzer dazu zu verleiten, sich bei einem bösartigen Server zu authentifizieren.
• NTLM-Hashes während der Übertragung abzufangen, die anschließend offline geknackt oder in Pass-the-Hash-Angriffen verwendet werden können.
• Sicherheitskontrollen zu umgehen, die auf NTLM für die Authentifizierung angewiesen sind, einschließlich einiger Single Sign-On (SSO)-Implementierungen.

Der Exploit (ID: 52478) erfordert keine erweiterten Berechtigungen, was ihn auch für Angreifer mit geringen Rechten zugänglich macht. Obwohl Microsoft noch keine detaillierte Sicherheitswarnung veröffentlicht hat, wird vermutet, dass die Schwachstelle auf eine unsachgemäße Handhabung der NTLM-Challenge-Response-Mechanismen zurückzuführen ist.

Auswirkungsanalyse

Die Offenlegung von NTLM-Hashes birgt erhebliche Risiken, darunter:

• Diebstahl von Anmeldedaten: Angreifer können NTLM-Hashes knacken, um Klartext-Passwörter zu erhalten – insbesondere, wenn schwache oder wiederverwendete Anmeldedaten im Einsatz sind.
• Laterale Bewegung: Kompromittierte Hashes können in Pass-the-Hash-Angriffen genutzt werden, um sich seitlich innerhalb eines Netzwerks zu bewegen.
• Erweiterung von Berechtigungen: In Umgebungen, in denen NTLM für privilegierten Zugriff verwendet wird, könnten Angreifer ihre Berechtigungen eskalieren.
• Unternehmensrisiko: Organisationen, die legacy Systeme, hybride Umgebungen oder Drittanbieter-Integrationen nutzen, die auf NTLM angewiesen sind, sind besonders gefährdet.

Empfehlungen für Sicherheitsteams

Um die mit CVE-2024-21302 verbundenen Risiken zu mindern, sollten Sicherheitsexperten folgende Maßnahmen ergreifen:

1. Microsoft-Patches anwenden: Überwachen Sie die neuesten Sicherheitsupdates von Microsoft und spielen Sie diese ein, um diese Schwachstelle zu beheben.
2. NTLM deaktivieren, wo möglich: Wechseln Sie zu Kerberos oder modernen Authentifizierungsprotokollen (z. B. OAuth 2.0, SAML), um die Abhängigkeit von NTLM zu verringern.
3. SMB-Signierung erzwingen: Verlangen Sie SMB-Signierung, um Relay-Angriffe zu verhindern, die NTLM ausnutzen.
4. Netzwerksegmentierung implementieren: Begrenzen Sie die laterale Bewegung durch Segmentierung der Netzwerke und Einschränkung des NTLM-Datenverkehrs.
5. Suspicious Activity überwachen: Nutzen Sie SIEM-Tools, um ungewöhnliche NTLM-Authentifizierungsversuche oder Hash-Erfassungen zu erkennen.
6. Benutzer schulen: Schulen Sie Mitarbeiter darin, Phishing- und Spoofing-Versuche zu erkennen, die NTLM-Authentifizierungen auslösen könnten.

Nächste Schritte

Angesichts der Verbreitung von NTLM in Unternehmensumgebungen sollten Organisationen das Patchen und die Härtung von Protokollen priorisieren. Sicherheitsteams wird empfohlen, ihre Authentifizierungsprotokolle auf Anzeichen von Ausnutzung zu überprüfen und ihre Exposition gegenüber NTLM-basierten Angriffen zu bewerten.

Weitere Details finden Sie in der ursprünglichen Exploit-Veröffentlichung auf der Exploit Database.