Das Sicherheitsunternehmen Mandiant hat eine Datenbank veröffentlicht, die das Knacken von administrativen Passwörtern ermöglicht, die durch Microsofts NTLMv1-Hash-Algorithmus geschützt sind. Dieser Schritt soll Benutzer dazu ermutigen, die veraltete und anfällige Funktion aufzugeben. Die Datenbank liegt in Form einer Rainbow Table vor, einer vorkonfigurierten Tabelle von Hash-Werten, die mit ihren entsprechenden Klartext-Passwörtern verknüpft sind.

Rainbow Tables nutzen Schwächen in Hashing-Algorithmen aus und ermöglichen es Angreifern, gestohlene Passwort-Hashes schnell wieder in ihre ursprüngliche Klartextform zu überführen. NTLMv1 ist aufgrund seines begrenzten Schlüsselraums besonders anfällig, was bedeutet, dass die Anzahl der möglichen Passwörter, die die Hashing-Funktion zulässt, relativ gering ist. Obwohl NTLMv1-Rainbow Tables seit zwei Jahrzehnten existieren, erforderte ihre praktische Nutzung oft erhebliche Rechenressourcen.

Mandiant erklärte am Donnerstag, dass seine neu veröffentlichte NTLMv1-Rainbow Table es Verteidigern und Forschern ermöglicht, Passwörter in weniger als 12 Stunden wiederherzustellen, und bietet damit neue Werkzeuge zur Bewertung und Verbesserung der Sicherheit. Das Unternehmen räumte jedoch ein, dass böswillige Akteure die Tabelle auch für unbefugten Zugriff nutzen könnten.

Hashing-Algorithmen sind grundlegend für die Cybersicherheit und wandeln Passwörter in scheinbar zufällige Zeichenketten um. Dieser Prozess soll Passwörter auch dann schützen, wenn eine Datenbank kompromittiert wird. Schwache oder veraltete Algorithmen wie NTLMv1 können jedoch anfällig für Angriffe sein, die diesen Prozess umkehren. Rainbow Tables stellen einen solchen Angriff dar, indem sie die Hash-Werte für gängige Passwörter vorab berechnen und in einer Datenbank für die schnelle Suche speichern.

Die Veröffentlichung unterstreicht die anhaltende Herausforderung durch Legacy-Systeme und die Bedeutung der Migration zu sichereren Authentifizierungsmethoden. Trotz bekannter Schwachstellen verwenden viele Organisationen weiterhin NTLMv1, oft aufgrund von Kompatibilitätsproblemen mit älterer Software oder Hardware. Die Veröffentlichung von Mandiant dient als deutliche Erinnerung an die Risiken, die mit dem Festhalten an veralteter Technologie verbunden sind.

Sicherheitsexperten empfehlen, dass Organisationen NTLMv1 deaktivieren und auf robustere Authentifizierungsprotokolle wie Kerberos oder NTLMv2 umsteigen. Multi-Faktor-Authentifizierung (MFA) fügt ebenfalls eine zusätzliche Sicherheitsebene hinzu, die es Angreifern erheblich erschwert, Zugriff zu erhalten, selbst wenn sie einen Passwort-Hash geknackt haben. Der Vorfall unterstreicht die Notwendigkeit kontinuierlicher Sicherheitsbewertungen und proaktiver Abhilfestrategien zum Schutz vor sich entwickelnden Bedrohungen.