In diesem Beitrag geht es darum, wer zurückgelassen wird, wenn „Verteidigern helfen“ bedeutet, Angriffswerkzeuge ohne Verteidigungsressourcen zu veröffentlichen.
Am 15. Januar veröffentlichte Googles Mandiant „Closing the Door on Net-NTLMv1: Releasing Rainbow Tables to Accelerate Protocol Deprecation.“
Der Beitrag enthält 8 TB Rainbow Tables, 10 Abbildungen zur Angriffsausführung, eine Schritt-für-Schritt-Anleitung zur Kompromittierung eines Domain Controllers und 4 Sätze zur Abhilfe.
Wer noch NTLMv1 einsetzt
Organisationen, die migrieren konnten, haben es bereits getan. Die verbleibenden stecken fest:
- Gesundheitssysteme mit FDA-zertifizierten Geräten auf gesperrter Firmware
- Versorgungsunternehmen mit SCADA-Systemen von 2008, die ohne Rezertifizierung nicht aktualisiert werden können
- Schulen mit Legacy-Schülerverwaltungssystemen und ohne Budget für einen Ersatz
- Kommunen mit IT-Investitionszyklen, die sich seit der Finanzkrise nicht verändert haben
- RADIUS/MSCHAPv2-Deployments, die Microsoft ausdrücklich von Deprecation-Timelines ausnimmt
Das sind keine Organisationen, die 25 Jahre lang Warnungen ignoriert haben. Es sind Organisationen, die durch regulatorische Einschränkungen, Vendor Lock-in und Kapitalengpässe außerhalb ihrer Kontrolle gefangen sind.
Shodan meldet 256.804 Hosts, die öffentlich SMBv1 mit aktivierter Authentifizierung aushandeln—und das ist nur die externe Exponierung. Der von Mandiant dokumentierte Angriff wird in internen Netzwerken ausgeführt, unsichtbar für jede öffentliche Erhebung.
Mandiant verfügt über diese Erhebung. Sie bewerten solche Umgebungen. Sie reagieren auf Vorfälle in ihnen. Sie veröffentlichten 8 TB Angriffswerkzeuge und keine Auswirkungsanalyse.
Das Verhältnis
| Inhalt | Abbildungen | Wörter |
|---|---|---|
| Angriffs-Walkthrough | 10 | ~1.500 |
| Abhilfemaßnahmen | 0 | ~100 |
Der Abschnitt „Related Reading“ verlinkt auf:
- crack.sh (Cracking-Dienst)
- hashcat-Forenthreads
- Angriffsdokumentation von swisskyrepo, hackndo, praetorian, trustedsec
- NetNTLMtoSilverTicket (Angriffswerkzeug)
- shuck.sh (ein weiterer Cracking-Dienst)
Kein einziges Detection-Skript. Kein einziger Härtungsleitfaden. Kein einziger Link zu Microsofts Migrationsdokumentation.
Was fehlte
Wenn das Ziel gewesen wäre, Verteidigern zu helfen, hätte der Beitrag Folgendes enthalten:
- Koordination mit CISA zu Veröffentlichungszeitpunkt und Sektorbenachrichtigungen
- Ein Zeitfenster für Abhilfemaßnahmen vor der vollständigen öffentlichen Freigabe
- Detection Queries und Monitoring-Anleitungen
- Links zu Microsofts bestehender Migrationsdokumentation
- Anerkennung regulatorischer und betrieblicher Einschränkungen
- Ressourcen für unterversorgte Sektoren
Der Beitrag bot nichts davon.
Die Gegenargumente
Fairerweise:
NTLMv1 ist seit Windows Vista im Jahr 2006 als veraltet eingestuft. Microsoft veröffentlicht seit fast 20 Jahren Migrationsleitfäden. Cracking-Tools existierten bereits—crack.sh bietet dies seit über einem Jahrzehnt als Dienstleistung an. Die Rainbow Tables senken Kosten und Einstiegshürde, schaffen aber keine neue Angriffsklasse.
Die Veröffentlichung von Angriffswerkzeugen zur Erzwingung von Deprecation hat Präzedenzfälle. Firesheep demonstrierte Session Hijacking in offenen WLANs und beschleunigte die HTTPS-Einführung.
Aber es gibt einen entscheidenden Unterschied: Eric Butler veröffentlichte Firesheep, als HTTPS Everywhere bereits verfügbar war. Die Lösung existierte. Nutzer konnten sich sofort schützen. Mandiant veröffentlichte 8 TB Angriffstabellen ohne Detection-Tool, ohne Scanner, ohne irgendetwas, das Verteidiger an diesem Nachmittag hätten einsetzen können.
Die Frage ist nicht, ob Forcing Functions funktionieren können. Die Frage ist, ob man beide Seiten bewaffnet oder nur eine.
Das Tool, das sie hätten verlinken sollen
Wir haben es gebaut.
pqprobe scan-smb erkennt:
- NTLMv1 ohne Extended Session Security (den spezifischen Mandiant-Angriffsvektor)
- NTLMv1 mit ESS
- NTLMv2-Konfigurationen
- SMB-Versionsaushandlung
- Signing-Anforderungen
pqprobe audit-windows prüft:
- LmCompatibilityLevel-Registry-Einstellungen
- Event-4624-Authentifizierungsprotokolle auf tatsächliche NTLMv1-Nutzung
- Gruppenrichtlinien-Konfiguration
- Silverfort und andere Bypass-Szenarien
Beispielausgabe (illustrativ):
$ pqprobe scan-smb 10.0.0.0/24 -o table
HOST SMB NTLM SCORE GRADE
───────────────────────────────────────────────
10.0.0.5 v1 NTLMv1 12 F
10.0.0.12 v2 NTLMv1-ESS 38 D
10.0.0.15 v3 NTLMv2 71 C
10.0.0.22 v3 NTLMv2+sign 89 BDer Scanner ist kostenlos und unbegrenzt nutzbar. Er läuft in Ihrem Browser oder auf Ihrer Infrastruktur. Er erstellt den Bericht, den Sie zur Priorisierung der Abhilfemaßnahmen benötigen—nicht die Angriffskette, die Sie nicht brauchen.
Der Punkt
Ich habe schon oft Angriffstechniken veröffentlicht. 2012 schrieb ich Securing the Virtual Environment als Koautor, während ich VMware beriet. Jedes Angriffskapitel war mit Verteidigungsmaßnahmen gepaart. Ich hielt weltweit Vorträge in Labs vor Gruppen, die lernten, einen Hypervisor-Ausbruch durchzuführen, damit sie sich dagegen verteidigen konnten. Das Buch wurde so lange her veröffentlicht, dass es mit einer DVD voller Tools ausgeliefert wurde—für Verteidiger.
Angriff und Verteidigung zusammen—das ist die Kombination, die notwendig ist, um behaupten zu können, man schreibe über Verteidigung. Mandiant veröffentlichte einen Angriff. Wir haben ein Verteidigungstool gebaut. Kennen Sie den Unterschied.