Een 15-jaar oud beveiligingslek in de technologie om gebruikers op Windows en Unix-netwerken te authenticeren is nog altijd niet opgelost, waardoor bedrijven risico lopen. De NT LAN Manager, en diens opvolger NTLMv2, is een challenge-en-response protocol voor het inloggen op Microsoft accounts via Windows of Unix-netwerken. Het wordt elke keer gebruikt als de Windows of Samba-server een wachtwoord vereist en de client geen onderdeel van het Windows Active Directory domain is. De inloggegevens worden wel versleuteld, toch is er vanuit een beveiligingsperspectief het nodig te verbeteren, aldus beveiligingsonderzoeker Marsh Ray.

Gedateerd
NTLMv2 mag dan het onderscheppen van wachtwoorden voorkomen, de technologie biedt geen bescherming tegen het forwarding/relay of reflectie aanvallen. "Dit betekent dat een actieve aanvaller, zoals een man-in-the-middle, de login van de legitieme gebruiker kan doorsturen om zijn eigen sessie te authenticeren", aldus Ray. "Het ontwerp is niet verrassend, aangezien het standaard netwerk dat Microsoft wachtwoorden eind jaren 1990 gebruikte uit een klein kantoor bestond dat niet met het internet verbonden was." In dat scenario is een man-in-the-middle zeer onwaarschijnlijk, aangezien de aanvaller in dit geval al fysieke toegang had.

Ray was gisteren een onaangekondigde spreker tijdens de lezing van Dan Geer op het Usenix Security Symposium. De onderzoeker beschrijft het probleem als een 'cross-protocol lek.' Er zouden tientallen protocollen zijn die NTLM authenticatie kunnen gebruiken. Een aanvaller is vrij om client en server protocollen te mixen, omdat de doorgestuurde inloggegevens onderling compatibel zijn. "Er zijn meer dan honderd combinaties van client en server protocollen die mogelijk kwetsbaar zijn."

Patches
Tot grote verbazing van Ray is het probleem al sinds 1996 bekend en herhaaldelijk besproken. Toch lijkt de boodschap niet te zijn aangekomen. De patches die in 1999, 2000 en 2001 uitkwamen verhielpen alleen bepaalde gevallen. In 2008 en 2009 verschenen er weer zes patches van Microsoft en een aantal van andere leveranciers. "Ja het is een multi-vendor probleem, Mozilla, WebKit, Samba, etc., gebruiken allemaal dit protocol."

Ondanks initiatieven van Microsoft om het probleem aan te pakken, schiet de softwaregigant toch te kort, merkt Ray op. Het gaat namelijk weer om protocol specifieke oplossingen, die niet het fundamentele probleem oplossen. Daarnaast zijn ze optioneel voor zowel client als server, dus kan een aanvaller ze negeren. "Na wat onderzoek en overleg met een aantal mensen, heb ik de indruk dat alleen aanvallers, wat pentesters en engineers bij sommige leveranciers de ernst en omvang van het probleem snappen."

Het feit dat alle mogelijke combinaties van exploits nog niet in Metasploit zitten, wil niet zeggen dat andere aanvallers er geen misbruik van maken. "Helaas zijn het de aanvallers die van deze status quo profiteren." Hoewel Ray het probleem graag opgelost ziet, is er op dit moment geen eenvoudige oplossing. "Mensen moeten weten hoe 'owned' ze zijn." Als tijdelijke oplossing kunnen beheerders features uitschakelen die mogelijk toch niet worden gebruikt.