Mandiant publie un dataset complet de tables arc‑en‑ciel dédié à Net‑NTLMv1, avec l’objectif déclaré de faciliter la démonstration de l’insécurité du protocole et d’en accélérer la dépréciation. L’initiative s’appuie sur l’expertise de terrain de Mandiant et les ressources de Google Cloud, et met en avant la possibilité de récupérer des clés en moins de 12 heures avec du matériel grand public coûtant moins de 600 $.

Contexte: Net‑NTLMv1 est connu comme insecure depuis au moins 2012 (présentations à DEFCON 20), avec une cryptanalyse remontant à 1999. La prise en charge par Hashcat (2016) du craquage de clés DES via known plaintext a démocratisé l’attaque. Les tables arc‑en‑ciel existent depuis 2003 (Oechslin), héritant des travaux de Hellman (1980). Quand un attaquant obtient un hash Net‑NTLMv1 sans ESS (Extended Session Security) avec le texte clair connu 1122334455667788, une known plaintext attack (KPA) permet de récupérer de façon garantie le matériau de clé, c’est‑à‑dire le hash de mot de passe de l’objet Active Directory (AD) (utilisateur ou compte machine), facilitant une escalade de privilèges.

Publication du dataset: le jeu de tables est accessible via Google Cloud (ex. gsutil -m cp -r gs://net-ntlmv1-tables/tables .) et vérifiable avec des hashes SHA512 (ex. sha512sum -c tables.sha512). La communauté du cracking propose déjà des hébergements et travaux dérivés prêts à l’emploi.

Utilisation: une fois un hash Net‑NTLMv1 obtenu, les tables se consultent avec des implémentations historiques ou modernes de recherche de tables arc‑en‑ciel, telles que rainbowcrack (rcrack), RainbowCrack‑NG (CPU) ou un fork rainbowcrackalack (GPU). Le hash doit être pré‑traité en composantes DES via ntlmv1-multi avant recherche.

Chaîne d’attaque typique: des attaquants utilisent Responder avec les options --lm et --disable-ess et forcent l’authentification sur la valeur statique 1122334455667788, puis attendent des connexions entrantes ou les provoquent via PetitPotam ou DFSCoerce. Les réponses permettent de récupérer des hashs de mots de passe d’utilisateurs ou de comptes machines. Une chaîne courante consiste à contraindre l’authentification d’un contrôleur de domaine (DC); récupérer le hash du compte machine du DC conduit à des privilèges DCSync, ouvrant la compromission d’autres comptes AD.

IOCs et TTPs

  • IOCs: Aucun IOC fourni dans la publication.
  • TTPs:
    • KPA sur Net‑NTLMv1 sans ESS avec plaintext connu 1122334455667788.
    • Pré‑traitement des hashs en composantes DES via ntlmv1-multi.
    • Recherche via tables arc‑en‑ciel avec rcrack / RainbowCrack‑NG / rainbowcrackalack (CPU/GPU).
    • Capture/coercition d’authentification avec Responder (--lm, --disable-ess).
    • Coercition d’authentification via PetitPotam, DFSCoerce.
    • Escalade de privilèges par récupération du hash du compte machine DC et abus DCSync.

Type d’article: publication de recherche présentant un dataset et une méthodologie pour démontrer l’insécurité de Net‑NTLMv1 et encourager sa mise hors service.

🧠 TTPs et IOCs détectés

TTP

[‘Known Plaintext Attack (KPA) sur Net-NTLMv1 sans ESS avec plaintext connu 1122334455667788’, ‘Pré-traitement des hashs en composantes DES via ntlmv1-multi’, ‘Recherche via tables arc-en-ciel avec rcrack / RainbowCrack-NG / rainbowcrackalack (CPU/GPU)’, ‘Capture/coercition d’authentification avec Responder (–lm, –disable-ess)’, ‘Coercition d’authentification via PetitPotam, DFSCoerce’, ‘Escalade de privilèges par récupération du hash du compte machine DC et abus DCSync’]

🔗 Source originale : https://cloud.google.com/blog/topics/threat-intelligence/net-ntlmv1-deprecation-rainbow-tables?hl=en