Firma de securitate Mandiant a lansat o bază de date care permite spargerea oricărei parole de administrator protejate de algoritmul de hashing NTLM.v1 al Microsoft, într-o încercare de a determina utilizatorii care continuă să utilizeze funcția depreciată în ciuda punctelor slabe cunoscute. Baza de date vine sub forma unui tabel rainbow, care este un tabel pre-calculat de valori hash legate de textul lor clar corespunzător. Aceste tabele generice, care funcționează împotriva mai multor scheme de hashing, permit hackerilor să preia conturi prin maparea rapidă a unui hash furat la omologul său de parolă. Tabelele rainbow NTLMv1 sunt deosebit de ușor de construit datorită spațiului limitat de chei al NTLMv1, ceea ce înseamnă numărul relativ mic de parole posibile pe care funcția de hashing le permite.
**Arme noi pentru profesioniștii în securitate**
Joi, Mandiant a declarat că a lansat un tabel rainbow NTLMv1 care va permite apărătorilor și cercetătorilor (și, desigur, și hackerilor rău intenționați) să recupereze parole în mai puțin de 12 ore folosind hardware de consum care costă mai puțin de 600 USD. Tabelul este găzduit în Google Cloud. Baza de date funcționează împotriva parolelor Net-NTLMv1, care sunt utilizate în autentificarea rețelei pentru accesarea resurselor, cum ar fi partajarea de rețea SMB. În ciuda susceptibilității sale îndelungate și bine cunoscute la spargere ușoară, NTLMv1 rămâne în uz în unele dintre cele mai sensibile rețele din lume. Un motiv pentru lipsa de acțiune este că utilitățile și organizațiile din industrii, inclusiv sănătatea și controlul industrial, se bazează adesea pe aplicații vechi care sunt incompatibile cu algoritmii de hashing lansați mai recent. Un alt motiv este că organizațiile care se bazează pe sisteme de importanță critică nu își pot permite timpul de nefuncționare necesar pentru a migra. Desigur, inerția și zgârcenia sunt, de asemenea, cauze.
„Prin lansarea acestor tabele, Mandiant își propune să reducă bariera pentru profesioniștii în securitate pentru a demonstra insecuritatea Net-NTLMv1”, a spus Mandiant. „Deși instrumentele de exploatare a acestui protocol există de ani de zile, adesea au necesitat încărcarea de date sensibile către servicii terțe sau hardware scump pentru a forța brutal cheile.”
Microsoft a lansat NTLMv1 în anii 1980 odată cu lansarea OS/2. În 1999, criptanalistul Bruce Schneier și Mudge au publicat cercetări care au expus punctele slabe cheie din bazele NTLMv1. La conferința Defcon 20 din 2012, cercetătorii au lansat un set de instrumente care permitea atacatorilor să treacă de la o rețea oaspete nesigură la administrator în 60 de secunde, atacând slăbiciunea subiacentă. Odată cu lansarea Windows NT SP4 din 1998, Microsoft a introdus NTLMv2, care a remediat slăbiciunea. Organizațiile care se bazează pe rețeaua Windows nu sunt singurele care întârzie. Microsoft a anunțat doar planuri de a deprecia NTLMv1 în august anul trecut.
În ciuda conștientizării publice că NTLMv1 este slab, „consultanții Mandiant continuă să identifice utilizarea acestuia în medii active”, a spus compania. „Acest protocol moștenit lasă organizațiile vulnerabile la furtul trivial de acreditări, totuși rămâne răspândit din cauza inerției și a lipsei de risc imediat demonstrat.”
Tabelul ajută mai întâi atacatorii să ofere răspunsul corect la o provocare pe care Windows o trimite în timpul procesului de autentificare, utilizând un atac cu text clar cunoscut cu provocarea 1122334455667788. Odată ce provocarea a fost rezolvată, atacatorul obține hash-ul Net-NTLMv1 și folosește tabelul pentru a-l sparge rapid. De obicei, sunt implicate instrumente precum Responder, PetitPotam și DFSCoerce.
Într-un fir de discuție pe Mastodon, cercetătorii și administratorii au aplaudat mișcarea, deoarece au spus că le va oferi muniție suplimentară atunci când vor încerca să convingă factorii de decizie să facă investițiile pentru a renunța la funcția nesigură. „Am avut mai mult de un caz în cariera mea (recunosc, scurtă) în infosec în care a trebuit să demonstrez slăbiciunea unui sistem și de obicei implică să las o foaie de hârtie pe biroul lor cu parola lor pe ea a doua zi”, a spus o persoană. „Aceste tabele rainbow nu vor însemna mare lucru pentru atacatori, deoarece probabil că le au deja sau au metode mult mai bune, dar acolo unde vor ajuta este în a argumenta că NTLMv1 este nesigur.”
Postarea Mandiant oferă pașii de bază necesari pentru a renunța la NTLMv1. Acesta oferă linkuri către instrucțiuni mai detaliate. „Organizațiile ar trebui să dezactiveze imediat utilizarea Net-NTLMv1”, a spus Mandiant. Organizațiile care sunt piratate pentru că nu au ținut cont vor avea doar pe cine să învinovățească.