Hacker nutzen NTLM-Authentifizierungsschwachstellen aus, um Windows-Systeme anzugreifen.

Trotz der vergangenen Jahre bleibt das NTLM-Protokoll eine hartnäckige Bedrohung. Selbst im Jahr 2025 bieten seine alten Schwachstellen Hackern weiterhin Tür und Tor. Die Windows-Authentifizierung steht im Fokus, und dies erschüttert die Cybersicherheit von Unternehmen massiv. Administratoren wissen, dass NTLM, dieses altbekannte Rädchen im Getriebe, schon immer eine Schwachstelle war. Obwohl Microsoft das Ende dieses Protokolls angekündigt hat, ist es nach wie vor in Millionen von Systemen im Einsatz. Es ist wirklich ärgerlich, wenn man sieht, wie Hacker es heute ausnutzen.

Wie werden diese NTLM-Schwachstellen also zu Hintertüren, um in Ihre Netzwerke einzudringen? NTLM-Angriffe, die nichts von ihrer Faszination eingebüßt haben: Das New Technology LAN Manager-Protokoll wurde entwickelt, um Clients und Server in drei Schritten zu authentifizieren. Simpel, aber so fragil, dass es kaum 20 Jahre später immer noch voller Sicherheitslücken ist. Hacker nutzen die Schwäche dieses Authentifizierungsverfahrens mit verschiedenen Techniken schamlos aus. Eine der heimtückischsten ist der Diebstahl des NTLM-Hashs. Anstatt das Passwort im Klartext zu ermitteln, gelingt es Angreifern, die verschlüsselten Hashwerte zu extrahieren. Eine unbedacht ausgeführte Schadsoftware genügt, und das System sendet die benötigten Informationen an einen Server, der von den Hackern kontrolliert wird.

Diese Methode, Hash-Leak genannt, erfordert nicht einmal komplizierte Aktionen. Ein einfacher Klick oder sogar das Verschieben einer Datei reicht aus, um den Leak auszulösen. Das macht den Schutz natürlich deutlich schwieriger!

Hackerangriffe mit verheerenden Folgen

Mehrere aktuelle Angriffe zeigen, dass diese Sicherheitslücken in großem Umfang ausgenutzt werden. Nehmen wir beispielsweise CVE-2024-43451, das Windows über präparierte .url-Dateien angreift. Gruppen wie BlindEagle und Head Mare haben diese Schwachstelle genutzt, um Trojaner in Ländern wie Kolumbien, Russland und Belarus zu verbreiten.

Und das ist noch nicht alles. Die kürzlich entdeckten Sicherheitslücken CVE-2025-24054 und CVE-2025-24071 nutzen .zip-Archive und deren .library-ms-Dateien aus. Windows sendet seine NTLM-Anmeldeinformationen automatisch an kontrollierte Server und öffnet so Malware wie AveMaria Tür und Tor – ein wahrer Albtraum für sensible Netzwerke.

Hinzu kommt CVE-2025-33073. Dies ist ein besonders perfider Angriff: Der Angreifer manipuliert das DNS, um externe Anfragen als intern darzustellen. Die Folge? Schnelle Eskalation bis zur Systemebene – das Ziel eines jeden Eindringlings. Ein DNS-Trick, der alle üblichen Schutzmechanismen umgeht.

Warum ist NTLM trotz all dem immer noch im Einsatz?

Microsoft plant, ab Windows 11 Version 24H2 und Windows Server 2025 auf NTLM zu verzichten. Doch die Umstellung einer Infrastruktur ist ein langwieriger Prozess, insbesondere in einem Unternehmensumfeld. Legacy-Anwendungen und veraltete Netzwerkdienste sind nach wie vor weit verbreitet.

Die Umstellung bereitet vielen Kopfzerbrechen und wird daher gern aufgeschoben. Dies wiederum öffnet Cyberkriminellen Tür und Tor. Jeder nicht aktualisierte Rechner wird zu einem potenziellen Ziel.

Die Tatsache ist einfach: Solange NTLM in Netzwerken weiterhin eingesetzt wird, werden Sicherheitslücken ausgenutzt. Und die zukünftigen Administratorengenerationen müssen verstehen, dass die Installation eines Patches das Problem nicht löst. Ein echter Paradigmenwechsel ist erforderlich.

Man-in-the-Middle-Angriffe auf NTLM: ein Klassiker, der immer noch existiert.

Seit Jahren sind NTLM-Relays die effektivste Methode, um Anmeldeinformationen abzufangen. Ein Hacker positioniert sich zwischen Client und Server und fängt die Authentifizierungssitzung im laufenden Betrieb ab. Unbemerkt erlangt er privilegierten Zugriff.

Und es funktioniert immer noch genauso gut. Die Angriffe sind zwar ausgefeilter geworden, aber das Prinzip bleibt dasselbe: die Ausnutzung eines veralteten und schlecht geschützten Protokolls. Die Geschichte lehrt uns, dass diese Schwachstelle noch lange nicht behoben ist.

Wie können wir den Schaden begrenzen? Es gibt keine Patentlösung: Wir müssen dringend die Migration zu Kerberos oder anderen modernen Mechanismen planen. Die Aktualisierung von Systemen und die weitestgehende Einschränkung der Verwendung von .url-Dateien oder verdächtigen Archiven sind unerlässliche erste Schritte. Es bringt nichts, zu überstürzen, aber wir müssen vorankommen. Die NTLM-Schwachstelle zu ignorieren, ist brandgefährlich. Unternehmen müssen auch WebDAV-Verbindungen, die häufig für Hash-Leak-Angriffe missbraucht werden, genau überwachen.