image

Microsoft versterkt beveiliging Windows XP

woensdag 9 januari 2013, 12:24 door Redactie, 3 reacties

Om de beveiliging van Windows XP en Server 2003 te versterken heeft Microsoft een 'Fix it-oplossing' uitgebracht die het zwakke NT LAN Manager (NTLM) v1 beveiligingsprotocol in beide besturingssystemen uitschakelt. Het is door de fix alleen nog mogelijk om NTLMv2 te gebruiken. Dit werd al geruime tijd door Microsoft als 'best practice' geadviseerd, maar wordt door de fix ook systeemmatig afgedwongen.

NTLM is de opvolger van het Microsoft LAN Manager (LANMAN) authenticatieprotocol en wordt gebruikt om gebruikers op systemen te authenticeren. Volgens Microsoft zijn er gedetailleerde informatie en tools beschikbaar voor het aanvallen van NTLMv1 en LAN Manager (LM) netwerken.

"Verbeteringen in computerhardware en softwarealgoritmes hebben deze protocollen kwetsbaar voor gepubliceerde aangevallen gemaakt", aldus de softwaregigant. Een aanvaller zou hierdoor inloggegevens van gebruikers kunnen onderscheppen en toegang tot systemen kunnen krijgen.

Kraken
Vorig jaar lanceerde beveiligingsonderzoeker Moxie Marlinspike een online dienst genaamd Cloudcracker om wachtwoorden die via Windows LAN Manager en NT LAN Manager hashes beveiligd zijn te kraken.

Recent demonstreerde andere onderzoekers een zeer krachtige computer die een wachtwoord van acht karakters dat met NT LAN Manager (NTLM) gehasht is, met een snelheid van 348 miljard pogingen per seconde, in vijf en een half uur kan kraken.

Installatie
De Fix it-oplossing wordt niet via Windows Update verspreid en moet door gebruikers en beheerders handmatig worden gedownload en geactiveerd. De Fix it-oplossing zorgt er daarnaast voor dat de NTLMv2-instellingen zo worden ingesteld dat er van de 'Extended Protection for Authentication' feature gebruik wordt gemaakt.

Deze feature versterkt de beveiliging en verwerking van inloggegevens wanneer gebruikers over het netwerk via de geïntegreerde Windows Authentication (IWA). inloggen.

Reacties (3)
09-01-2013, 12:39 door Erik van Straten
Goede actie van Microsoft, alleen was het m.i. beter geweest als deze gewoon als update was verspreid maar bij het draaien ervan duidelijk zou uitleggen wat de risico's zijn (met Cancel/Afbreken knop).

Die risico's zijn oudere Windows/Linux versies (en oudere NASjes) en mogelijk oudere printers die niet (goed) meer werken als NTLMv1 niet beschikbaar meer is.

Aanvulling 13:08: alle lof voor Mark Gamache die Microsoft eindelijk zover heeft weten te krijgen om een stap in de goede richting te doen! In http://markgamache.blogspot.nl/2013/01/ntlm-challenge-response-is-100-broken.html geeft Mark trouwens veel achtergrondinfo.
09-01-2013, 13:57 door Anoniem
Moet je eigenlijk rebooten als je gebruik maakt van die Fix It-oplossing?
Wanneer je zelf de registry aanpast om het probleem te fixen moet dat namelijk wel.
09-01-2013, 15:35 door Erik van Straten
Door Anoniem: Moet je eigenlijk rebooten als je gebruik maakt van die Fix It-oplossing?
Wanneer je zelf de registry aanpast om het probleem te fixen moet dat namelijk wel.
Na het schrijven van bovenstaande bijdrage heb ik de Fix-It voor XP gedraaid op mijn XP PC en voor de zekerheid gereboot. Dat rebooten zou ik dus gewoon doen.

Overigens gaat de meeste Microsoft data (file I/O, Outlook) daarna nog steeds onversleuteld over het netwerk (Outlook verkeer is encoded, maar Wireshark op mijn PC kan dat gewoon decoderen).

Een aanvaller met toegang tot jouw netwerk kan nog steeds alles meekijken en je desgewenst gemanipuleerde files (scripts of binaries) voorschotelen, en zo jouw machine overnemen.

Het draaien van de Fix-It is vooral zinvol voor (mobiele) devices waarmee je wel eens op vreemde netwerken koppelt (denk aan WiFi hotspots, publiek of in hotels/vakantieparken). Het is voor een aanvaller namelijk erg eenvoudig om jouw PC jouw "credentials" te laten prijsgeven. Die zijn een stuk eenvoudiger te kraken als jouw PC bereid is omdat in LM of NTLMv1 format te doen. Overigens heeft NTLMv2 weinig zin als je een kort en/of raadbaar wachtwoord gebruikt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.