De oudere authenticatie van Windows is volledig gekraakt, met de cloudkraakservice van hacker Moxie Marlinspike. Microsofts LM en NTLM zijn onveilig, terwijl die pas sinds Vista standaard uit staan.

Security-onderzoeker Mark Gamache heeft de hashes afgeleid van onderschepte NTLM-handshakes. Hij weet daardoor de ingebouwde authenticatie van Windows "voor 100 procent" te kraken, middels een pash-the-hash aanval. Gamache heeft hiervoor de rekenkracht benut van de Cloudcracker-service die is opgezet door security-hacker Marlinspike. De gebruikte kraakcode is vrijgegeven als proof of concept.
Oud probleem, nu accuut

De zwakke plekken in NTLM (NT LAN Manager) en voorganger LM zijn al geruime tijd bekend, maar misbruik is nu kinderspel. Het kraken van Windows' authenticatie voor log-ins is geholpen door de voortgeschreden rekenkracht die goedkoop en algemeen beschikbaar is.

De communicatie voor Windows-authenticatie tussen client en server:

Terwijl Microsoft allang het veiligere NTLMv2 aanbiedt, is dat pas sinds Windows Vista default ingeschakeld. Windows XP en servertegenhanger Windows Server 2003 zijn wereldwijd nog veel in gebruik. Gamache schrijft: "Je zou denken dat niemand meer NTLM gebruikt, of LM. NTLMv2 is er al geruime tijd."

"Iedereen gebruikt het vast en zeker. Toch? Fout!" Gamache haalt de nieuwste data aan van - de omstreden - webdeveloperssite W3 Schools waaruit blijkt dat Windows XP nog draait op 21 procent van alle computers. Volgens marktmonitor NetMarketShate is dat oude besturingssysteem zelfs goed voor 39 procent.
Default onveilig

Die cijfers betreffen alleen de clientuitvoering van Microsofts veelgebruikte besturingssysteem. De 2003-versie van Windows Server gebruikt standaard NTLM-responses voor authenticatieverzoeken van clients. "Ja, elk Microsoft-OS sinds NT 4.0 met SP4 ondersteunt NTLMv2, maar NTLM en LM zijn pas default uitgeschakeld sinds Vista", klaagt Gamache.

In de standaard configuratie zijn computers met oudere Windows-versies dus kwetsbaar. Beheerders moeten zelf de oudere, kwetsbare authenticatieprotocollen uitschakelen. Of ze moeten het gebruik ervan afschermen. Gamache merkt op dat er geen Microsoft-patches bestaan die voor een dergelijke 'hardening' van Windows zorgen.
Richtlijnen

Microsoft biedt wel nieuwe beveiligingsrichtlijnen en een oudere security advisory waar NTLM-kraker Gamache naar verwijst. Daarin raadt de Windows-maker klanten met klem aan om hun Windows-omgevingen door te nemen en hun "netwerkauthenticatie-instellingen te updaten".

Microsoft noemt hierbij consequent NTLMv2, wat volgens Gamache de enige van de vier handshake-opties (of 'versies') is die nog veilig is. Het advies is dan ook om de oudere NTLM-versies af te schaffen. De Windows-authenticatie is recent ook al onder vuur genomen met een krachtig GPU-cluster dat een wachtwoord van 8 karakters binnen 6 uur kan kraken.