A empresa de segurança Mandiant lançou um banco de dados que permite a quebra de senhas administrativas protegidas pelo algoritmo de hash NTLMv1 da Microsoft, uma medida destinada a encorajar os usuários a abandonar a função desatualizada e vulnerável. O banco de dados assume a forma de uma rainbow table, uma tabela pré-computada de valores de hash vinculados às suas senhas de texto simples correspondentes.

Rainbow tables exploram fraquezas em algoritmos de hashing, permitindo que invasores mapeiem rapidamente hashes de senhas roubadas de volta à sua forma original de texto simples. O NTLMv1 é particularmente suscetível devido ao seu keyspace limitado, o que significa que o número de senhas possíveis que a função de hashing permite é relativamente pequeno. Embora as rainbow tables NTLMv1 existam há duas décadas, seu uso prático geralmente exigia recursos computacionais significativos.

A Mandiant declarou na quinta-feira que sua rainbow table NTLMv1 recém-lançada permite que defensores e pesquisadores recuperem senhas em menos de 12 horas, fornecendo novas ferramentas para avaliar e melhorar a segurança. No entanto, a empresa reconheceu que agentes maliciosos também poderiam usar a tabela para acesso não autorizado.

Algoritmos de hashing são fundamentais para a segurança cibernética, transformando senhas em strings de caracteres aparentemente aleatórias. Este processo é projetado para proteger senhas, mesmo que um banco de dados seja comprometido. No entanto, algoritmos fracos ou obsoletos como o NTLMv1 podem ser vulneráveis a ataques que revertem esse processo. Rainbow tables representam um desses ataques, pré-calculando os valores de hash para senhas comuns e armazenando-os em um banco de dados para consulta rápida.

O lançamento destaca o desafio contínuo dos sistemas legados e a importância da migração para métodos de autenticação mais seguros. Apesar das vulnerabilidades conhecidas, muitas organizações continuam a usar o NTLMv1, muitas vezes devido a problemas de compatibilidade com software ou hardware mais antigos. O lançamento da Mandiant serve como um forte lembrete dos riscos associados à adesão à tecnologia desatualizada.

Especialistas em segurança recomendam que as organizações desativem o NTLMv1 e atualizem para protocolos de autenticação mais robustos, como Kerberos ou NTLMv2. A autenticação multifator (MFA) também adiciona uma camada adicional de segurança, tornando significativamente mais difícil para os invasores obter acesso, mesmo que tenham quebrado um hash de senha. O incidente ressalta a necessidade de avaliações de segurança contínuas e estratégias de mitigação proativas para proteger contra ameaças em evolução.