Mandiant wypuszcza Rainbow Table, który złamie słabe hasło administratora w 12 godzin
Firma Microsoft wypuściła NTLMv1 w latach 80. wraz z wydaniem systemu OS/2. W 1999 roku kryptoanalityk Bruce Schneier i Mudge opublikowali badania, które ujawniły kluczowe słabości podstaw NTLMv1. Na konferencji Defcon 20 w 2012 r. badacze zaprezentowali zestaw narzędzi, który umożliwiał atakującym przejście od niezaufanego gościa sieci do administratora w 60 sekund, atakując podstawową słabość. Wraz z wydaniem w 1998 r. systemu Windows NT SP4 w 1998 r. firma Microsoft wprowadziła protokół NTLMv2, który naprawił tę słabość. Organizacje korzystające z sieci Windows nie są jedynymi maruderami. Firma Microsoft ogłosiła plany wycofania protokołu NTLMv1 dopiero w sierpniu ubiegłego roku. Pomimo świadomości społecznej, że protokół NTLMv1 jest słaby, „konsultanci Mandiant nadal identyfikują jego zastosowanie w aktywnych środowiskach” – stwierdziła firma. „Ten dotychczasowy protokół naraża organizacje na ryzyko trywialnej kradzieży danych uwierzytelniających, choć nadal jest powszechny ze względu na bezwładność i brak wykazanego bezpośredniego ryzyka”. Tabele w pierwszej kolejności pomagają atakującym w dostarczaniu wyników mieszania na bajt za pomocą znanego wyzwania w postaci zwykłego tekstu 1122334455667788. Ponieważ skróty Net-NTLM są generowane na podstawie hasła użytkownika i wyzwania, co jest atakiem ze znanym tekstem jawnym, w przypadku tych tabel naruszenie bezpieczeństwa konta staje się trywialne. Zazwyczaj w atakach na Net-NTLM biorą udział narzędzia takie jak Responder, PetitPotam i DFSCoerce. Zazwyczaj zaangażowane są narzędzia, w tym Responder, PetitPotam i DFSCoerce. W wątku na Mastodonie badacze i administratorzy pochwalili to posunięcie, ponieważ stwierdzili, że da im to dodatkową amunicję przy próbach przekonania decydentów do podjęcia inwestycji w celu rezygnacji z niepewnej funkcji. „W mojej (wprawdzie krótkiej) karierze w branży informatycznej miałem więcej niż jeden przypadek, gdy musiałem udowodnić słabość systemu, a następnego ranka zazwyczaj upuszczałem na biurko kartkę papieru z hasłem” – powiedziała jedna z osób. „Te tęczowe tabele nie będą miały większego znaczenia dla atakujących, ponieważ prawdopodobnie już je mają lub mają znacznie lepsze metody, ale pomogą w przedstawieniu argumentu, że protokół NTLMv1 jest niebezpieczny”. Post Mandiant zawiera podstawowe kroki wymagane do odejścia od NTLMv1. Zawiera łącza do bardziej szczegółowych instrukcji. „Organizacje powinny natychmiast wyłączyć korzystanie z Net-NTLMv1” – powiedział Mandiant. Organizacje, które zostaną zhakowane, ponieważ nie posłuchały, będą mogły winić tylko siebie.
已Opublikowany: 2026-01-16 21:05:00
źródło: arstechnica.com
