Mandiant публикует радужные таблицы, ломающие NTLMv1, за 12 часов. Пришло время наконец отказаться от устаревшего протокола
Иногда приходится показывать грабителям, как открывать замки, чтобы владельцы наконец поняли, что их меры безопасности бесполезны. Mandiant, компания Google Cloud, выпустила полный набор радужных таблиц для взлома любого пароля, защищенного протоколом NTLMv1. Это продуманный шаг, призванный вызвать достаточную панику, чтобы организации наконец осознали, что используют технологии, недостатки которых широко известны с 1999 года.
Mandiant публично опубликовала радужные таблицы, которые позволяют любому взломать любой пароль, защищенный NTLMv1, за 12 часов на потребительском оборудовании менее чем за 600 долларов. Это отчаянная попытка заставить организации отказаться от опасных технологий.
Microsoft Copilot уязвим для эксплойта повторного запроса. Одного клика достаточно, чтобы украсть пользовательские данные
Опубликованный набор данных Mandiant восстанавливает криптографические ключи из хэшей Net-NTLMv1 менее чем за 12 часов с использованием потребительского оборудования стоимостью менее 600 долларов США. Это огромное изменение по сравнению с предыдущим статус-кво, когда для взлома NTLMv1 требовалась либо отправка конфиденциальных данных на внешние сайты Crack.sh, либо дорогостоящее оборудование графического процессора. Теперь любой специалист по безопасности, как и любой злоумышленник, может локально выполнить атаку по известному открытому тексту на захваченные хэши, используя значение вызова 1122334455667788. Таблицы работают с такими инструментами, как Rainbowcrack или RainbowCrack-NG, и этот процесс требует лишь предварительной обработки хэшей с помощью инструмента ntlmv1-multi, который разбивает их на компоненты DES.
Net-NTLMv1 устарел, небезопасен и должен быть удален.
Чтобы помочь правозащитникам доказать риск и ускорить обесценивание, мы выпустили полный набор радужных таблиц. Посмотрите, насколько легко можно восстановить эти ключи и защитить свою среду.
Читать далее: pic.twitter.com/2V1qD3b8h7
— Mandiant (часть Google Cloud) (@Mandiant) 16 января 2026 г.
Обнаружен VoidLink — сложная среда C2 для систем Linux в контейнерных и облачных средах
История NTLMv1 — это история невежества и инерции. Этот протокол был представлен Microsoft в 1980-х годах вместе с OS/2, а криптоанализ его самых слабых мест был опубликован Брюсом Шнайером и Маджем в 1999 году. На Defcon 20 исследователи продемонстрировали набор инструментов ZackAttack, который позволял перейти от гостя сети к администратору за 60 секунд. Microsoft представила NTLMv2 еще в 1998 году вместе с Windows NT SP4, исправив известные проблемы. Несмотря на это, только в августе 2025 года компания официально объявила о планах по поэтапному отказу от NTLMv1 и фактически удалила протокол из Windows 11 24H2 и Windows Server 2025. Все эти годы организации предпочитали жить с убеждением, что, поскольку громких инцидентов нет, риск носит теоретический характер.
Хакеры украли данные миллионов людей из Instagram. Все уже несколько дней доступно в даркнете
Действия Mandiant провокационны, но преднамеренны. Как отмечают комментаторы Mastodon, радужные доски не особо полезны злоумышленникам. У них уже есть лучшие методы. Но для администраторов и специалистов по безопасности, пытающихся убедить лиц, принимающих решения, инвестировать в миграцию, возможность на следующее утро положить на стол карточку с паролем начальника — непреодолимый аргумент. На практике атака на NTLMv1 выглядит следующим образом: злоумышленник использует такие инструменты, как Responder с флагами —lm и —disable-ess, для принудительного подключения NTLMv1, а затем использует методы принуждения аутентификации, PetitPotam или DFSCoerce, чтобы заставить контроллеры домена или другие хосты пройти аутентификацию. Захваченные хэши учетных записей компьютеров (например, контроллеров домена) затем можно использовать для атак DCSync, получая полный контроль над всем доменом Active Directory. Это сценарий, который киберпреступники реализовывали годами, но сейчас барьер для входа равен нулю.
Операция взлома WrtHug на роутерах ASUS. Проверьте, не захвачен ли хакерами ваш домашний роутер
С точки зрения конечного пользователя ситуация тревожная, но индивидуально он мало что может сделать. NTLMv1 — это проблема инфраструктуры предприятия. Если вы работаете в организации, использующей Active Directory, вам следует предупредить об этом свой ИТ-отдел. Mandiant в своем посте предоставляет инструкции по отключению Net-NTLMv1, но для этого требуется аудит среды, выявление устаревших систем и зачастую утомительная миграция устаревших приложений. Безопасность в ИТ — это не только вопрос технологий, но, прежде всего, управления техническим долгом. Организации, которые не инвестировали в модернизацию в течение последних 15 лет, теперь сталкиваются с риском того, что вся их сеть будет захвачена протоколом, недостатки которого были задокументированы еще до того, как некоторые из сегодняшних администраторов даже начали изучать информатику.
Источник: Google Мандиант
