Mandiant le pubblica rainbow table Net-NTLMv1: password admin scardinate in 12 ore

Mandiant, oggi parte di Google Cloud, ha reso disponibile un ampio database di rainbow table pensato specificamente per il protocollo di autenticazione Net-NTLMv1 di Microsoft, una tecnologia considerata non sicura da oltre vent'anni ma ancora presente in molte infrastrutture aziendali. L'obiettivo dichiarato è ridurre al minimo le barriere pratiche che finora hanno impedito a molti amministratori di sistema di dimostrare in modo concreto quanto sia vulnerabile questo schema di hashing e di autenticazione.

Il dataset consente di recuperare qualunque password amministrativa protetta tramite hash NTLMv1 in tempi molto brevi, trasformando un rischio spesso percepito come teorico in un vettore di attacco estremamente pratico e alla portata di più attori. La mossa arriva in un momento in cui Microsoft sta spingendo sempre più verso la dismissione totale di NTLM in favore di meccanismi moderni come Kerberos, ma dove i vincoli delle applicazioni legacy continuano a frenare molte realtà.

Come funziona la rainbow table di Mandiant

Il nuovo strumento di Mandiant è una serie di rainbow table, ovvero tabelle precalcolate che associano hash a password in chiaro, permettendo di risalire rapidamente alla chiave originale una volta ottenuto il valore di hash. Nel caso di Net-NTLMv1, il limitato spazio delle chiavi dal protocollo e il modo in cui vengono gestite le porzioni di password rendono particolarmente semplice generare queste tabelle in modo sistematico.

Secondo Mandiant, grazie a questo dataset è possibile recuperare password in meno di 12 ore utilizzando hardware consumer dal costo inferiore ai 600 dollari, senza dover ricorrere a GPU farm dedicate o a servizi di cracking esterni. Le tabelle, ospitate su Google Cloud, sono progettate per funzionare contro credenziali Net-NTLMv1 tipicamente usate in scenari di autenticazione di rete, ad esempio per l'accesso a condivisioni SMB e altre risorse interne.

Perché NTLMv1 è ancora in uso

Nonostante vulnerabilità note da anni e la disponibilità di alternative più robuste, Net-NTLMv1 resta presente in alcune delle reti più sensibili, incluse realtà dei settori sanitario e industriale. Una delle ragioni principali è la dipendenza da applicazioni legacy che non supportano protocolli di autenticazione più recenti, spesso alla base di sistemi di controllo o di gestione che non possono essere facilmente sostituiti o aggiornati.

Un altro fattore è la difficoltà di pianificare migrazioni che comportano downtime, test approfonditi e possibili impatti sui servizi critici, cui si sommano vincoli di budget e inerzia organizzativa. In molti casi, Net-NTLMv1 resta abilitato come compromesso per mantenere la compatibilità con pochi servizi obsoleti, ma finisce per esporre lintero dominio Active Directory a rischi di compromissione delle credenziali.

Implicazioni di sicurezza per le reti Windows

Con rainbow table facilmente accessibili e utilizzabili su hardware economico, Net-NTLMv1 passa da problema noto agli addetti ai lavori a rischio concreto che consente anche ad attaccanti con risorse limitate. Strumenti come Responder possono forzare la negoziazione di Net-NTLMv1 nelle reti vulnerabili, permettendo di catturare hash e poi sfruttare il nuovo dataset per recuperare le password, con potenziali escalation fino ai diritti di amministratore di dominio.

La possibilità di dimostrare in laboratorio o durante attività di red teaming che password ritenute "complesse" possono essere recuperate in poche ore aumenta la pressione sugli amministratori che ancora mantengono Net-NTLMv1 attivo. La stessa Mandiant sottolinea come, finora, molte soluzioni di attacco richiedessero upload di hash a servizi terzi o investimenti significativi in hardware, barriere che questo rilascio contribuisce a eliminare.

Cosa dovrebbero fare le organizzazioni

Mandiant presenta il dataset come uno strumento al servizio di difensori e ricercatori, in grado, come dicevamo, di fornire prove concrete per giustificare progetti di dismissione dei protocolli legacy. Di conseguenza, come raccomandazione principale, il primo passo resta la disabilitazione di Net-NTLMv1 laddove possibile, accompagnata dal monitoraggio dei log di autenticazione per individuare tentativi di negoziare vecchi metodi di login, ad esempio analizzando gli eventi Windows che riportano l'uso di "LM" o "NTLMv1".

Nei contesti in cui applicazioni critiche richiedono ancora Net-NTLMv1, le organizzazioni sono chiamate a pianificare percorsi di migrazione verso protocolli più sicuri, valutando l'isolamento di segmenti di rete, l'introduzione di controlli aggiuntivi e, in ultima istanza, la sostituzione delle piattaforme. Il rilascio delle rainbow table di Mandiant funge così da forte incentivo a trattare la permanenza di Net-NTLMv1 come un debito tecnico con impatto diretto sulla superficie d'attacco.