Gapend gat in Microsoft Active Directory ontdekt

Het probleem is groot omdat zo'n 95 procent van de Fortune 500 bedrijven, gebruik maken van Active Directory. Het vormt onderdeel van het standaard authenticatie- en autorisatiemechanisme in Windows Server.

De fout beperkt zich overigens niet tot Active Directory. Het probleem zit in NTLM, een authenticatieprotocol, dat in meer systemen voor single sign-on voorkomt. NTLM blijkt kwetsbaar te zijn voor een 'pass-the-hash'-aanval. Daarbij kan een hacker die de login-gegevens van een gebruiker heeft weten te bemachtigen het hashing-algoritme (versleuteling) gebruiken om ook toegang te krijgen tot andere accounts. Het is een vaker gebruikte methode om een login voor een onbelangrijke dienst op het netwerk die makkelijk te verkrijgen is, te gebruiken om de login voor veel gevoeliger diensten uit af te leiden.

Het 'pass-the-hash'-probleem is een kwetsbaar element van veel systemen voor single sign-on, aangezien de 'hash' ergens op de client moet worden opgeslagen.

Client kan autenticatieserver dwingen zwak protocol te gebruiken

Microsoft gebruikte NTLM als default in alle besturingssystemen ouder dan Windows XP SP3. Nieuwere versies van het besturingssysteem maken gebruik van een combinatie van NTLM en Kerberos, een opvolger van NTLM. Microsoft probeert al geruime tijd NTLM uit te faseren. Clients kunnen de nieuwere versies echter nog altijd dwingen gebruik te maken van de NTLM-authenticatie op de server. Daarbij vindt er geen logging plaats van de activiteiten van NTLM, waardoor een aanval ook moeilijk te ontdekken en te traceren is.