Source: Mandiant (Threat Intelligence, 15 janvier 2026). Contexte: l’éditeur publie un vaste jeu de tables arc‑en‑ciel pour Net‑NTLMv1, visant à illustrer le risque immédiat de ce protocole obsolète et à favoriser sa dépréciation effective.

Mandiant annonce la mise à disposition publique d’un dataset complet de tables arc‑en‑ciel Net‑NTLMv1, soulignant que ce protocole est insecure depuis plus de deux décennies. L’objectif est de faciliter pour les défenseurs la démonstration concrète de la faiblesse de Net‑NTLMv1 (sans ESS) via une attaque par texte clair connu sur le texte « 1122334455667788 », garantissant la récupération du matériel de clé (lié au hash de mot de passe AD) et potentiellement une escalade de privilèges.

Le billet détaille l’historique cryptographique (DES, time‑memory trade‑off, rainbow tables de 2003) et explique que, grâce à ces tables, les clés peuvent être retrouvées en <12 h avec du matériel grand public (<600 USD). Le dataset est accessible via Google Cloud (gsutil/portal Research Dataset), avec hashes SHA512 fournis pour validation. La communauté du cracking a déjà produit des travaux dérivés et héberge des tables prêtes à l’emploi.

Le flux d’attaque typique décrit inclut l’obtention d’un hash Net‑NTLMv1, son pré‑traitement en composants DES, puis la recherche dans les tables via des outils comme rainbowcrack / RainbowCrack‑NG (CPU) ou un fork GPU. L’attaque peut viser des comptes machine de contrôleur de domaine (DC), permettant ensuite de reconstituer le NT hash et d’exécuter une attaque DCSync (ex. via Impacket/secretsdump.py) pour compromettre d’autres comptes AD.

Côté défense, Mandiant recommande de désactiver immédiatement Net‑NTLMv1 en configurant « Network security: LAN Manager authentication level » sur « Send NTLMv2 response only » (via stratégie locale ou GPO) et de surveiller l’usage résiduel via les journaux d’événements (Event ID 4624) lorsque « LM » ou « NTLMv1 » apparaît dans « Package Name (NTLM only) ». Le billet souligne que des attaquants peuvent modifier temporairement ces paramètres localement, d’où la nécessité de détection et alerte. 🛑

IOCs: aucun indicateur (IP, domaines, fichiers) n’est fourni. TTPs mentionnés:

  • Capture Net‑NTLMv1 sans ESS et KPA sur texte connu « 1122334455667788 » (DES, rainbow tables)
  • Outils: Responder, PetitPotam, DFSCoerce, rainbowcrack/RainbowCrack‑NG, fork GPU, ntlmv1‑multi, twobytes, Hashcat (mode shucking m 27000), Impacket/secretsdump.py
  • Techniques: coercition d’authentification depuis objets privilégiés (ex. DC), récupération de clés via tables, reconstruction du NT hash, DCSync pour compromission AD

Type d’article: billet de Threat Intelligence et publication de recherche visant à fournir un dataset pratique pour démontrer l’insécurité de Net‑NTLMv1 et encourager sa dépréciation.

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/net-ntlmv1-deprecation-rainbow-tables