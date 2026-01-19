News & Trends 16 0

Neue Tools für alte Probleme: Schwache Windows-Passwörter im Visier

Cybersicherheitsfirma Mandiant veröffentlicht frei zugängliche Rainbow Tables, mit denen sich veraltete NTLMv1-Admin-Passwörter schnell entschlüsseln lassen.

Die Entwickler von Mandiant haben eine grosse Sammlung von sogenannten Rainbow Tables veröffentlicht. Diese Datenbank besteht aus vorberechneten kryptografischen Werten und macht es möglich, veraltete Administrations-Passwörter des Windows-Protokolls Net-NTLMv1 zu entschlüsseln. Die Rainbow Table ist auf Google Drive frei zugänglich.

Was sind Rainbow Tables? Ein Rainbow Table ist eine grosse Tabelle von Klartext-Passwörtern und ihren Hash-Werten. Ein Hash entsteht, wenn ein Passwort durch einen Algorithmus in eine scheinbar zufällige Zeichenfolge umgewandelt wird. Da diese Umwandlung nicht einfach umkehrbar ist, waren Hashes früher relativ sicher. Für ältere Verfahren wie NTLMv1 reicht jedoch die begrenzte Variationsbreite der Hashes aus, um mit vorberechneten Tabellen relativ schnell das ursprüngliche Passwort zu finden. Wer einen Hashwert aus einem System erhält, kann in der Tabelle nachsehen und so den Klartext fast ohne Rechenaufwand ermitteln.

Was ist das Problem mit NTLMv1?

NTLMv1 ist ein Microsoft Authentifizierungsprotokoll aus den 1980er-Jahren. Bereits in den 1990er-Jahren gab es aber Analysen, die zeigten, dass das Protokoll Schwächen hat. 2012 gab es dann die Sicherheitskonferenzen DEFCON, an welcher der Standard endgültig als unsicher und somit unbrauchbar erklärt wurde. Microsoft selbst hat NTLMv1 schon vor einigen Jahren durch NTLMv2 ersetzt und 2022 offiziell angekündigt, die alte Version abzuschaffen. Trotzdem kommt NTLMv1 aus verschiedenen Gründen noch in manchen Netzwerken zum Einsatz. Mandiant will mit der Veröffentlichung der Tabellen zeigen, wie leicht Administrator-Passwörter der alten Art geknackt werden können. Sicherheitsexperten sehen darin ein Werkzeug für Tests und Audits für IT-Verantwortliche.

Es braucht weder teure Ausrüstung noch viel Zeit

Mandiant gibt an, dass sich mit den neuen Rainbow Tables ein administratives NTLMv1-Passwort innerhalb von weniger als zwölf Stunden rekonstruieren lässt. Dafür «braucht man keine teure Spezialhardware, sondern kann mit Hardware im Preisbereich von unter 600 US-Dollar arbeiten».

Die Rainbow Tables sind gezielt gegen Net-NTLMv1-Hashes einsetzbar. Diese können bei der Authentifizierung im Windows-Netzwerk zum Einsatz kommen. Sobald ein Angreifer einen gültigen Hash besitzt, etwa durch das Abfangen von Datenverkehr oder durch andere Tools zur Authentifizierungs-Erzwungung, kann er die Tabelle nutzen, um das dazugehörige Passwort zu finden.

Wie sollen die Verantwortlichen nun reagieren??

Mandiant empfiehlt Netzbetreibern, die Unterstützung für Net-NTLMv1 in ihren Systemen sofort zu deaktivieren und auf neuere Authentifizierungsmechanismen umzusteigen. Nur so lassen sich Netzwerke dauerhaft gegen derartige Angriffe absichern.

Titelbild: Shutterstock

