Microsoft versterkt beveiliging Windows XP
Om de beveiliging van Windows XP en Server 2003 te versterken heeft Microsoft een 'Fix it-oplossing' uitgebracht die het zwakke NT LAN Manager (NTLM) v1 beveiligingsprotocol in beide besturingssystemen uitschakelt. Het is door de fix alleen nog mogelijk om NTLMv2 te gebruiken. Dit werd al geruime tijd door Microsoft als 'best practice' geadviseerd, maar wordt door de fix ook systeemmatig afgedwongen.
NTLM is de opvolger van het Microsoft LAN Manager (LANMAN) authenticatieprotocol en wordt gebruikt om gebruikers op systemen te authenticeren. Volgens Microsoft zijn er gedetailleerde informatie en tools beschikbaar voor het aanvallen van NTLMv1 en LAN Manager (LM) netwerken.
"Verbeteringen in computerhardware en softwarealgoritmes hebben deze protocollen kwetsbaar voor gepubliceerde aangevallen gemaakt", aldus de softwaregigant. Een aanvaller zou hierdoor inloggegevens van gebruikers kunnen onderscheppen en toegang tot systemen kunnen krijgen.
Kraken
Vorig jaar lanceerde beveiligingsonderzoeker Moxie Marlinspike een online dienst genaamd Cloudcracker om wachtwoorden die via Windows LAN Manager en NT LAN Manager hashes beveiligd zijn te kraken.
Recent demonstreerde andere onderzoekers een zeer krachtige computer die een wachtwoord van acht karakters dat met NT LAN Manager (NTLM) gehasht is, met een snelheid van 348 miljard pogingen per seconde, in vijf en een half uur kan kraken.
Installatie
De Fix it-oplossing wordt niet via Windows Update verspreid en moet door gebruikers en beheerders handmatig worden gedownload en geactiveerd. De Fix it-oplossing zorgt er daarnaast voor dat de NTLMv2-instellingen zo worden ingesteld dat er van de 'Extended Protection for Authentication' feature gebruik wordt gemaakt.
Deze feature versterkt de beveiliging en verwerking van inloggegevens wanneer gebruikers over het netwerk via de geïntegreerde Windows Authentication (IWA). inloggen.
Die risico's zijn oudere Windows/Linux versies (en oudere NASjes) en mogelijk oudere printers die niet (goed) meer werken als NTLMv1 niet beschikbaar meer is.
Aanvulling 13:08: alle lof voor Mark Gamache die Microsoft eindelijk zover heeft weten te krijgen om een stap in de goede richting te doen! In http://markgamache.blogspot.nl/2013/01/ntlm-challenge-response-is-100-broken.html geeft Mark trouwens veel achtergrondinfo.
Wanneer je zelf de registry aanpast om het probleem te fixen moet dat namelijk wel.
Wanneer je zelf de registry aanpast om het probleem te fixen moet dat namelijk wel.
Overigens gaat de meeste Microsoft data (file I/O, Outlook) daarna nog steeds onversleuteld over het netwerk (Outlook verkeer is encoded, maar Wireshark op mijn PC kan dat gewoon decoderen).
Een aanvaller met toegang tot jouw netwerk kan nog steeds alles meekijken en je desgewenst gemanipuleerde files (scripts of binaries) voorschotelen, en zo jouw machine overnemen.
Het draaien van de Fix-It is vooral zinvol voor (mobiele) devices waarmee je wel eens op vreemde netwerken koppelt (denk aan WiFi hotspots, publiek of in hotels/vakantieparken). Het is voor een aanvaller namelijk erg eenvoudig om jouw PC jouw "credentials" te laten prijsgeven. Die zijn een stuk eenvoudiger te kraken als jouw PC bereid is omdat in LM of NTLMv1 format te doen. Overigens heeft NTLMv2 weinig zin als je een kort en/of raadbaar wachtwoord gebruikt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
