Windows NTLM: Hacker nutzen Schwachstellen massiv aus

Sicherheitsforscher schlagen Alarm: Eine koordinierte Angriffswelle zielt auf veraltete Windows-Authentifizierung ab. Die Zeit läuft.

Cybersecurity-Experten und Branchenbeobachter warnen eindringlich vor einer dramatischen Zunahme aktiver Angriffe auf Windows NTLM-Schwachstellen (New Technology LAN Manager). Bedrohungsakteure nutzen gezielt Authentifizierungslücken aus, um weltweit in Windows-Systeme einzudringen. Was steckt hinter dieser gefährlichen Eskalation?

Sicherheitsplattformen registrieren seit heute eine koordinierte Kampagne: Hacker hebeln systematisch NTLM-Authentifizierungen aus, um in Firmennetzwerke einzudringen. Laut aktuellen Berichten von Cyber Security News gelingt es Angreifern, Schwachstellen im NTLM-Handshake-Prozess auszunutzen – mit verheerenden Folgen. Sicherheitskontrollen werden umgangen, unbefugter Zugriff auf Windows-Umgebungen wird möglich.

Der Zeitpunkt ist brisant: Erst vor wenigen Tagen veröffentlichte Microsoft am November-Patchday Updates für 63 Sicherheitslücken, darunter kritische Schwachstellen. Die Angreifer scheinen ein Wettrennen zu führen – entweder gegen ungepatchte Systeme oder mit raffinierten Bypass-Techniken gegen bekannte Schutzmaßnahmen. Die Taktik: “Pass-the-Hash” und NTLM-Relay-Angriffe, bei denen Angreifer Anmeldedaten stehlen und sich lateral durch Netzwerke bewegen, ohne jemals das Klartext-Passwort zu benötigen.

IT-Verantwortliche stehen wegen der aktuellen NTLM-Angriffe unter Druck: Ungepatchte Systeme und Relay-Angriffe erlauben weitreichende Kompromittierungen. Der kostenlose E‑Book-Report fasst die wichtigsten Sofortmaßnahmen, Patch-Strategien und praktikablen Hardening-Schritte für Windows-Netzwerke zusammen — ideal für Administratoren und Security-Teams, die jetzt handeln müssen. Enthalten: Checklisten für NTLM-Audit, SMB-Signierung und Migrationsempfehlungen zu Kerberos. Jetzt kostenlosen Cyber-Security-Report anfordern

Kritische Schwachstelle im Fokus

Im Zentrum der Aufmerksamkeit steht CVE-2025-54918, eine kritische Sicherheitslücke zur Rechteausweitung in Windows NTLM. Die Schwachstelle wurde ursprünglich im September identifiziert und in nachfolgenden Updates gepatcht. Mit einem CVSS-Score von 8.8 gilt sie als hochgefährlich.

CrowdStrike-Forscher analysierten Ende Oktober, wie CVE-2025-54918 Angreifern ermöglicht, Zwangstechniken mit NTLM-Relay-Manipulation zu kombinieren. Das Ergebnis? Ein einfacher Domain-Benutzer kann seine Rechte auf SYSTEM-Ebene ausweiten und potenziell komplette Active-Directory-Umgebungen kompromittieren. Während im Oktober noch keine aktive Ausnutzung nachgewiesen wurde, deuten die heutigen Alarmmeldungen auf einen Strategiewechsel hin: Angreifer setzen diese oder ähnliche NTLM-Schwachstellen jetzt aktiv ein.

„Die minimale Benutzerinteraktion, die für manche NTLM-Exploits erforderlich ist, macht sie besonders gefährlich”, warnen Sicherheitsexperten. „Hat ein Angreifer erst einmal einen NTLM-Hash erbeutet, ist der Weg zur Rechteausweitung und vollständigen Domain-Kompromittierung erschreckend kurz.”

Sofortmaßnahmen dringend empfohlen

Die Wiederauferstehung NTLM-basierter Angriffe befeuert Forderungen aus der Industrie: Organisationen müssen das Protokoll endlich schneller ausrangieren. Microsoft rät seit Langem zur Migration auf Kerberos oder moderne Cloud-basierte Authentifizierungsmethoden – NTLM ist strukturell anfällig für Relay-Attacken und Hash-Diebstahl.

• November-2025-Updates installieren: Alle Windows-Systeme müssen mit den neuesten Sicherheitsupdates ausgestattet werden
• NTLM-Nutzung auditieren: Identifizieren Sie mit Audit-Tools, wo NTLM noch im Einsatz ist
• SMB-Signierung erzwingen: Diese Maßnahme verhindert effektiv viele NTLM-Relay-Angriffe
• NTLM einschränken: Implementieren Sie wo möglich “Restrict NTLM”-Richtlinien, besonders für ausgehenden Traffic zu Remote-Servern

Ein Jahr voller NTLM-Probleme

Die heutigen Ereignisse reihen sich in eine Serie von Sicherheitsvorfällen rund um NTLM ein. Bereits im April beobachteten Forscher von Check Point die aktive Ausnutzung von CVE-2025-24054, einer Hash-Disclosure-Lücke, die Angreifern das Stehlen von Anmeldedaten über manipulierte Dateien ermöglichte. Diese Kampagne richtete sich gegen Regierungsbehörden und private Institutionen in Europa – ein klarer Beweis für den hohen Wert, den Bedrohungsakteure NTLM-Schwachstellen beimessen.

Die Hartnäckigkeit dieser Angriffe verdeutlicht, vor welchen Herausforderungen viele Organisationen stehen: Das jahrzehntealte Protokoll vollständig abzuschalten ist komplex, da es tief in Legacy-Anwendungen und Hybrid-Netzwerkkonfigurationen verankert ist.

Keine Entwarnung in Sicht

Sicherheitsexperten prognostizieren eine weitere Zunahme der NTLM-Exploits. Angreifer verfeinern kontinuierlich ihre Werkzeuge, um Standardabwehrmaßnahmen zu umgehen. Mit der Entdeckung kritischer Schwachstellen wie CVE-2025-54918 und den heute gemeldeten aktiven Kampagnen schließt sich das Zeitfenster für Patches und Schutzmaßnahmen rapide.

„Organisationen, die auf NTLM vertrauen, sitzen praktisch auf einer tickenden Zeitbombe”, warnen Analysten eindringlich. „Der Wechsel zu Kerberos ist längst keine Best Practice mehr – er ist eine operative Notwendigkeit, um im aktuellen Bedrohungsklima zu überleben.”

Administratoren sollten wachsam bleiben und Sicherheitsfeeds kontinuierlich auf weitere Indikatoren für Kompromittierungen (IoCs) im Zusammenhang mit den heutigen Kampagnen überwachen.

PS: Sie möchten Ihr Unternehmen gegen solche Kampagnen wappnen? Dieses kostenlose E‑Book erklärt praxisnah, wie Sie Bedrohungen erkennen, Prioritäten beim Patchen setzen und mit einfachen Maßnahmen (Monitoring, IoC‑Feeds, Mitarbeiterschulungen) ernsthafte Schäden vermeiden. Perfekt für Geschäftsführer und IT‑Leitung, die Schutzmaßnahmen ohne große Budgets umsetzen wollen. Jetzt gratis E‑Book zur Cyber-Security herunterladen