Hacker-Tool fängt im Intranet Anmeldeinformationen für Windows-Netzwerke ab
Sicherheitsexperte: "Es wird Zeit, Microsofts NTLM zu beerdigen"
Microsofts Authentifizierungsschema NTLM (NT LAN Manager) steht schon seit längerem unter Beschuss. Jetzt hat ein IT-Sicherheitsexperte ein leistungsfähiges Angriffs-Tool vorgestellt. Der Programmierer prophezeit somit das Ende des in der Windows-Welt allgegenwärtigen Schemas. Allerdings muss das Angriffswerkzeug auf einem Rechner im Intranet laufen. Über das Internet sind solche Attacken momentan nicht möglich.
Mit seinem Tool Squirtle (
code.google.com/p/squirtle)
geht der US-Sicherheitsexperte Kurt Grutzmacher in lokalen Windows-Netzwerken auf die Jagd nach
Anmeldedaten, die per NTLM (NT LAN Manager) übermittelt werden. Wie das funktioniert, zeigte er auf
der Sicherheitskonferenz
Defcon.
In einem herkömmlichen Windows-Netzwerk findet jegliche Authentifizierung von Anwendern oder PCs
über NTLM statt. Daher beherrschen auch Produkte anderer Hersteller wie zum Beispiel Apples Iphone
und Mac OS X oder der Webserver Apache NTLM, um sich an Windows-Maschinen anmelden zu können.
Squirtle ist dabei keines der üblichen Knackprogramme. Es versucht nicht, die durch einen
NTLM-Hash aufgeschnappten Passwörter der Windows-Anwender per Brute-Force-Angriff zu ermitteln.
Squirtle entlockt dem Client vielmehr alle notwendigen Anmeldedaten, um diese an einen bösartigen
Client (Evil Agent) weiterzugeben.
Der Evil Agent kann sich dann mit der geklauten Identität an einem Windows-Server anmelden. Das
Übermittlung der Anmeldedaten vom Client an Squirtle erfolgt ohne Zutun des Anwenders, da die Daten
nach dem Login im Speicher gehalten werden und das Betriebssystem diese ohne Eingriff durch den
User an die anfragende Anwendung übermittelt. Dabei kommt das Angriffs-Tool sogar ohne die
klassische und zumeist nur mit hohem Aufwand zu bewerkstelligende Man-in-the-Middle-Attacke
aus.
Squirtle nutzt vielmehr die Tatsache, dass NTLM-Informationen auch per HTTP übertragen werden
können. Browser wie der Internet Explorer oder Firefox können die von einem – zumeist im Intranet
stehenden – Webserver geforderten Anmeldedaten per NTLM übermitteln.
Der Angriff basiert nun darauf, dass die Clients per Cross-Site-Scripting-Angriff (XSS)
zumindest ein einziges Mal zu Squirtle umgeleitet werden, damit der bösartige Server dem Client per
standardkonformer Abfrage die gerade gültigen NTLM-Anmeldeinformationen entlocken kann. Laut
Grutzmacher sind Intranetseiten zumeist erheblich anfälliger für Manipulationen als herkömmliche
Webseiten, so dass eine erfolgreiche XSS-Attacke im Intranet leichter zu bewerkstelligen ist als
über das Internet.
Grutzmacher hat Squirtle bewusst flexibel gehalten, sodass im Prinzip jede beliebige Anwendung
als Evil Agent auftreten und gültige Anmeldedaten erfragen kann. So ist das Werkzeug bereits heute
kompatibel zu Hacker-Tools wie Metasploit, Canvas oder Core Impact.
Der Experte demonstrierte in seiner Präsentation nicht nur die Funktionsweise von Squirtle, er
gab auch Ratschläge, wie Angriffe verhindert werden können. An oberster Stelle sieht Grutzmacher
den zwingenden Einsatz von NTLMv2, der Windows-Clients per Gruppenrichtlinie vorgegeben werden
kann. Squirtle arbeitet im Moment nur mit NTLMv1, sodass zumindest im Moment NTLMv2 eine sichere
Bank ist.
Grutzmacher arbeitet aber laut eigener Auskunft intensiv an der NTLMv2-Kompatibilität. Darüber
hinaus sollten Administratoren NTLM unbedingt im IIS (Internet Information Server) abschalten, wenn
die auf dem Webserver laufenden Anwendungen dies zu lassen.
Uli Ries/wg
Lesen Sie mehr zum Thema
