Utilizatorii de Windows care încă folosesc o funcție de hash vulnerabilă ar putea avea zilele numărate. Compania de securitate Mandiant a lansat recent o bază de date ce permite spargerea oricărei parole administrative protejate de algoritmul de hash NTLM.v1 al Microsoft, într-un efort de a încuraja actualizarea de la această funcție învechită, cunoscută pentru slăbiciunile sale.
Baza de date este structurată sub forma unui tabel de dispersie colorat (rainbow table), care conține valori de hash precalculate asociate cu textul clar corespunzător. Aceste tabele, care funcționează împotriva mai multor scheme de hash, permit hackerilor să preia controlul asupra conturilor prin corelarea rapidă a unui hash furat cu parola aferentă. Tabelele de tip rainbow pentru NTLMv1 sunt relativ ușor de construit datorită spațiului limitat de chei pe care îl permite NTLMv1, adică numărul relativ mic de parole posibile.
Joi, Mandiant a anunțat că a lansat un tabel rainbow pentru NTLMv1 care va permite apărătorilor și cercetătorilor (și, desigur, și hackerilor rău intenționați) să recupereze parole în mai puțin de 12 ore utilizând hardware de consum care costă mai puțin de 600 de dolari americani. Tabelul este găzduit în Google Cloud. Baza de date funcționează împotriva parolelor Net-NTLMv1, folosite în autentificarea de rețea pentru accesarea resurselor precum partajarea de rețea SMB.
În ciuda vulnerabilității sale cunoscute și a ușurinței cu care poate fi spart, NTLMv1 este încă utilizat în unele dintre cele mai sensibile rețele ale lumii. Un motiv pentru această situație este că utilitățile și organizațiile din domenii precum sănătatea și controlul industrial se bazează adesea pe aplicații vechi care sunt incompatibile cu algoritmii de hash lansați mai recent. Un alt motiv este că organizațiile care depind de sisteme critice nu își pot permite întreruperile necesare pentru migrare. Desigur, inerția și economisirea excesivă sunt de asemenea cauze.
„Prin lansarea acestor tabele, Mandiant își propune să reducă barierele pentru profesioniștii în securitate de a demonstra insecuritatea Net-NTLMv1”, a declarat Mandiant. „Deși instrumentele pentru a exploata acest protocol există de ani de zile, ele au necesitat adesea încărcarea datelor sensibile pe servicii terțe sau hardware scump pentru forțarea brută a cheilor.”
Microsoft a lansat NTLMv1 în anii ’80 odată cu lansarea OS/2. În 1999, criptanalistul Bruce Schneier și Mudge au publicat cercetări care au expus slăbiciunile fundamentale ale NTLMv1. La conferința Defcon 20 din 2012, cercetătorii au lansat un set de instrumente care permitea atacatorilor să treacă de la oaspete de rețea neîncredere la admin în 60 de secunde, atacând slăbiciunile de bază. Cu lansarea Windows NT SP4 în 1998, Microsoft a introdus NTLMv2, care a remediat această slăbiciune.
Organizațiile care se bazează pe rețelele Windows nu sunt singurele care întârzie. Microsoft a anunțat planurile de a desființa NTLMv1 abia în augustul anului trecut.
Deși există o conștientizare publică că NTLMv1 este slab, „consultanții Mandiant continuă să identifice utilizarea sa în medii active”.
Sursa: Ars Tehnica Technology
Poll: Ce opțiune consideri că este cea mai importantă pentru utilizatorii de Windows în acest context?
Revista “Ştiinţă şi Tehnică“, cea mai cunoscută şi longevivă publicaţie de popularizare a ştiintelor din România
Leave a Reply