Mandiant publikuje rainbow table dla NTLMv1. Hasła adminów do złamania w 12 godzin

Mandiant udostępnił publicznie rainbow table umożliwiającą szybkie łamanie haseł Net-NTLMv1. To jasny sygnał dla organizacji wciąż korzystających z przestarzałego mechanizmu uwierzytelniania Windows.

Mandiant opublikował rainbow table, która pozwala odzyskać hasła chronione algorytmem NTLMv1 w mniej niż 12 godzin, wykorzystując sprzęt konsumencki o wartości poniżej 600 dolarów. Baza jest hostowana w Google Cloud i działa przeciwko Net-NTLMv1, używanemu m.in. w uwierzytelnianiu do zasobów sieciowych SMB.

Skuteczność tabel wynika z fundamentalnych słabości NTLMv1 i bardzo ograniczonej przestrzeni kluczy. Choć podatności są znane od ponad 20 lat, NTLMv1 nadal występuje w środowiskach produkcyjnych – głównie z powodu legacy systemów, braku kompatybilności oraz obaw przed przestojami.

Mandiant podkreśla, że celem publikacji jest dostarczenie zespołom bezpieczeństwa realnego argumentu w rozmowach z decydentami. Atak wykorzystuje znany plaintext challenge, co w połączeniu z narzędziami takimi jak Responder czy PetitPotam czyni przejęcie kont trywialnym.

Rekomendacja jest jednoznaczna: Net-NTLMv1 powinien zostać natychmiast wyłączony. Dalsze jego używanie oznacza świadomą akceptację łatwej kradzieży poświadczeń.

Źródło:
Ars Technica

Tagi

Popularne

Palo Alto Networks ofiarą łańcuchowego ataku na Salesforce
Chaos w Waszyngtonie blokuje wymianę informacji o cyberatakatach
Witamy na Sentry News
Cloudflare blokuje rekordowy atak DDoS – 11,5 Tbps