Mandiant demontiert veraltetes NTLMv1-Protokoll mit drastischer Aktion

Googles Cybersicherheitsspezialist Mandiant hat das veraltete Authentifizierungsprotokoll NTLMv1 praktisch für tot erklärt. Statt eines Warnberichts veröffentlichte das Unternehmen öffentlich zugängliche Rainbow Tables, mit denen sich geschützte Anmeldedaten nun in wenigen Stunden knacken lassen. Diese drastische Maßnahme soll den Druck auf Unternehmen erhöhen, die das seit Jahrzehnten als unsicher bekannte Protokoll noch immer nutzen.

Ein seit 1999 bekanntes Sicherheitsrisiko

Die Schwachstellen in NTLMv1 sind kein Geheimnis. Erste Sicherheitslücken wurden bereits vor über 25 Jahren dokumentiert. Dennoch begegnen Mandiants Incident-Response-Experten dem Protokoll in Unternehmensnetzwerken noch immer regelmäßig. Die Gründe sind vielfältig: Organisatorische Trägheit, Angst vor Ausfällen bei der Migration oder veraltete Anwendungen, die keine moderneren Protokolle wie NTLMv2 oder Kerberos unterstützen. Besonders in sensiblen Bereichen wie dem Gesundheitswesen oder bei industriellen Steuerungssystemen hält sich solche Legacy-Software hartnäckig. Manchmal ist das Protokoll sogar in der Firmware von Druckern oder Sensoren versteckt – ohne dass die IT-Sicherheitsteams davon wissen.

Demokratisierung des Angriffs als Warnschuss

Mandiants unkonventioneller Schritt zielt darauf ab, diese gefährliche Beharrlichkeit zu durchbrechen. Die veröffentlichten Rainbow Tables sind speziell auf Net-NTLMv1-Hashes zugeschnitten und über das Google Cloud Research Dataset Portal für jeden abrufbar. Diese vorberechneten Tabellen machen einen Angriff, der früher teure Spezialhardware erforderte, zum Kinderspiel. Mandiant demonstriert: Die Wiederherstellung eines Authentifizierungsschlüssels gelingt nun in unter zwölf Stunden mit einem Computer für weniger als 600 Euro. Das Unternehmen will Sicherheitsexperten ein Werkzeug geben, um die akute Gefahr intern unbestreitbar zu machen – und sofortiges Handeln zu erzwingen.

Angesichts neuer Tools, mit denen Angreifer Net‑NTLMv1‑Hashes in nur wenigen Stunden knacken können, müssen Unternehmen jetzt proaktiv handeln. Das kostenlose E‑Book „Cyber Security Awareness Trends“ erklärt praxisnah, welche Maßnahmen IT‑Verantwortliche sofort umsetzen sollten – von Monitoring‑Checks über Passwort‑ und Konto‑Hardening bis zu Anti‑Phishing‑Maßnahmen. Ideal für Geschäftsführer und IT‑Leads, die die Sicherheit ohne große Investitionen stärken wollen. Jetzt gratis Cyber‑Security‑E‑Book herunterladen

Vom theoretischen Risiko zur akuten Bedrohung

Die Veröffentlichung verwandelt ein lange bekanntes theoretisches Risiko in eine unmittelbare, greifbare Gefahr. Angreifer können Anmeldedaten jetzt mit minimalem Aufwand stehlen. Der typische Angriffsweg beginnt mit dem Abfangen eines Net-NTLMv1-Hashes, oft durch Tools wie Responder. Erlangt ein Angreifer den Hash eines privilegierten Kontos – etwa eines Domänencontrollers –, kann dies zur vollständigen Kompromittierung des gesamten Active Directory führen. Ein sogenannter DCSync-Angriff ermöglicht dann das Auslesen der Anmeldedaten jedes Netzwerknutzers. Das bedeutet den ultimativen Kontrollverlust für das betroffene Unternehmen.

Keine Ausreden mehr für Unternehmen

Mandiants Aktion ist ein klares Signal: Die Duldung bekannter Schwachstellen ist nicht länger hinnehmbar. Obwohl Microsoft selbst die Abkündigung von NTLMv1 angekündigt hat, reichen Ankündigungen offenbar nicht aus. Die „Demokratisierung“ des Angriffs soll die Verteidiger nun zum Handeln zwingen. Branchenexperten sehen darin eine notwendige Eskalation. Die größte Hürde für viele Firmen ist oft nicht das Wissen um die Unsicherheit, sondern die Identifizierung aller versteckten Nutzungen in komplex gewachsenen IT-Landschaften.

Die Handlungsempfehlung ist eindeutig: Unternehmen müssen Net-NTLMv1 sofort deaktivieren. Der erste Schritt ist die aktive Überwachung der eigenen Netzwerke, etwa durch die Analyse von Authentifizierungs-Logs auf Event ID 4624. Die von Mandiant geschaffene Faktenlage lässt keine Ausreden mehr zu. Die Kosten einer Migration zu sicheren Authentifizierungsmethoden sind vernachlässigbar im Vergleich zum Risiko eines Totalverlusts, der durch die nun öffentlichen Tools massiv erleichtert wird. Diese Aktion dürfte interne Budget-Diskussionen über IT-Sicherheit deutlich beschleunigen – das Risiko ist jetzt für jeden sichtbar.