Mandiant publie une table arc-en-ciel pour craquer les mots de passe admin faibles

Introduction

La société de sécurité Mandiant a publié une base de données permettant de craquer tout mot de passe administrateur protégé par l’algorithme de hachage NTLM.v1 de Microsoft en 12 heures. Cette initiative vise à inciter les utilisateurs à abandonner cette fonction obsolète, malgré les faiblesses connues.

Contexte Technique

La base de données est sous la forme d’une table arc-en-ciel, qui est une table précalculée de valeurs de hachage liées à leur texte brut correspondant. Ces tables génériques fonctionnent contre plusieurs schémas de hachage et permettent aux hackers de prendre le contrôle des comptes en cartographiant rapidement un hachage volé à son mot de passe. Les tables arc-en-ciel NTLMv1 sont particulièrement faciles à construire en raison de l’espace de clés limité de NTLMv1, ce qui signifie un nombre relativement petit de mots de passe possibles que la fonction de hachage permet.

Analyse et Implications

L’analyse de cette situation montre que les tables arc-en-ciel NTLMv1 existent depuis deux décennies, mais nécessitent généralement de grandes quantités de ressources pour être utilisées. La table publiée par Mandiant permet aux défenseurs et aux chercheurs (ainsi qu’aux hackers malveillants) de récupérer les mots de passe en moins de 12 heures en utilisant du matériel grand public coûtant moins de 600 $ USD. Cela fonctionne contre les mots de passe Net-NTLMv1, utilisés pour l’authentification réseau pour accéder à des ressources telles que le partage de réseaux SMB.

Perspective

Il est important de surveiller l’utilisation de cette table arc-en-ciel et ses implications pour la sécurité des réseaux. Malgré sa vulnérabilité bien connue, NTLMv1 reste utilisé dans certains des réseaux les plus sensibles du monde. Les raisons incluent la dépendance à des applications héritées incompatibles avec les algorithmes de hachage plus récents, ainsi que l’inertie et la recherche de coûts réduits. La publication de ces tables par Mandiant vise à réduire les barrières pour les professionnels de la sécurité pour démontrer l’insécurité de Net-NTLMv1.