Mandiant выпустила базу для взлома NTLMv1 за 12 часов
Компания Mandiant опубликовала инструмент, позволяющий взламывать администраторские пароли NTLMv1 менее чем за 12 часов. Использование радужных таблиц делает атаку возможной даже на обычном домашнем компьютере.
Специалисты по кибербезопасности из Mandiant представили общественности массив данных, предназначенный для компрометации учетных записей администраторов в средах Microsoft. Речь идет о восстановлении доступа через хеши, созданные по устаревшему алгоритму NTLMv1. Опубликованный ресурс классифицируется как радужная таблица — это колоссальный список заранее вычисленных криптографических соответствий, которые позволяют мгновенно находить текстовые оригиналы по их цифровым отпечаткам.
Технологический прорыв в дешифровке
Главная особенность новой базы заключается в радикальном снижении требований к вычислительной технике. Если раньше для подобных операций требовались мощные серверные кластеры или дорогостоящие GPU-фермы, то теперь процедура занимает менее 12 часов. При этом злоумышленнику достаточно обладать мощностями стандартного домашнего компьютера. Инструмент фактически автоматизирует процесс сопоставления украденной информации с готовыми ответами, сводя на нет защитные функции хеширования, в котором не используется криптографическая соль. Упомянутый тип структур работает по принципу компромисса между временем и памятью: вместо перебора миллиардов комбинаций в реальном времени система обращается к индексированному архиву, где результаты сложнейших математических преобразований уже зафиксированы.
Контекст: Почему это критично сегодня
Рассматриваемый стандарт аутентификации появился еще в девяностых годах прошлого века. Несмотря на то что корпорация из Редмонда официально признала его небезопасным более двух десятилетий назад, технология до сих пор встречается в корпоративных сетях. Основная причина живучести таких решений — необходимость поддержки совместимости с антикварным программным обеспечением, старыми сетевыми принтерами или специфическим промышленным оборудованием. В отличие от современных методов, таких как Kerberos, данный способ передачи учетных данных не обеспечивает должного уровня энтропии. Это делает его легкой мишенью для атак типа «перехват и повтор» (relay attacks), где атакующий может использовать перехваченный хеш для входа в систему без знания реального пароля.
Что это значит для системных администраторов
Выход подобного инструмента в публичный доступ переводит угрозу из разряда теоретических в категорию повседневных рисков. Теперь любой инсайдер или хакер, получивший минимальный доступ к сетевому трафику, способен захватить контроль над доменом в течение одного рабочего дня. Эксперты рекомендуют немедленно инициировать аудит инфраструктуры. Первым шагом должен стать анализ логов для выявления узлов, все еще использующих слабый шифр. В дальнейшем необходимо принудительно деактивировать поддержку этого метода через групповые политики (GPO), установив параметры сетевой безопасности в значения, исключающие использование первой версии протокола. Переход на вторую итерацию алгоритма или полную замену на более совершенные тикетные системы становится вопросом выживания бизнеса в агрессивной цифровой среде.
