De nouveaux outils pour de vieux problèmes : les mots de passe Windows faibles sont ciblés
La société de cybersécurité Mandiant publie des Rainbow Tables en libre accès qui permettent de déchiffrer rapidement les mots de passe administrateur NTLMv1 obsolètes.
Les développeurs de Mandiant ont publié une grande collection de Rainbow Tables. Cette base de données est composée de valeurs cryptographiques précalculées et permet de décrypter les mots de passe d'administration obsolètes du protocole Windows Net-NTLMv1. La Rainbow Table est librement accessible sur Google Drive.
Quel est le problème avec NTLMv1?
NTLMv1 est un protocole d'authentification Microsoft datant des années 1980. Cependant, dès les années 1990, des analyses ont montré que le protocole présentait des faiblesses. En 2012, les conférences de sécurité DEFCON ont déclaré le standard définitivement non sécurisé et donc inutilisable. Microsoft elle-même a remplacé NTLMv1 par NTLMv2 il y a quelques années et a annoncé officiellement en 2022 qu'elle abandonnerait l'ancienne version. Malgré cela, NTLMv1 est encore utilisée sur certains réseaux pour diverses raisons. En publiant ces tableaux, Mandiant veut montrer à quel point il est facile de craquer les mots de passe administrateur de l'ancien type. Les experts en sécurité y voient un outil de test et d'audit pour les responsables informatiques.
Pas besoin d'équipement coûteux ni de beaucoup de temps
Mandiant affirme qu'avec les nouvelles Rainbow Tables, un mot de passe administratif NTLMv1 peut être reconstruit en moins de douze heures. Pour ce faire, «n'a pas besoin de matériel spécialisé coûteux, il est possible de travailler avec du matériel dont le prix est inférieur à 600 dollars US».
Les Rainbow Tables peuvent être utilisées de manière ciblée contre les hashs Net-NTLMv1. Ceux-ci peuvent être utilisés lors de l'authentification sur le réseau Windows. Une fois qu'un attaquant possède un hash valide, par exemple en interceptant le trafic ou en utilisant d'autres outils pour forcer l'authentification, il peut utiliser la table pour trouver le mot de passe correspondant.
Comment les responsables doivent-ils réagir ?
Mandiant recommande aux opérateurs de désactiver immédiatement la prise en charge de Net-NTLMv1 dans leurs systèmes et de passer à des mécanismes d'authentification plus récents. C'est la seule façon de sécuriser durablement les réseaux contre ce type d'attaques.
Depuis que j'ai découvert comment activer les deux canaux téléphoniques de la carte RNIS pour obtenir une plus grande bande passante, je bricole des réseaux numériques. Depuis que je sais parler, je travaille sur des réseaux analogiques. Un Winterthourois d'adoption au cœur rouge et bleu.
Du nouvel iPhone à la résurrection de la mode des années 80. La rédaction fait le tri.
Tout afficher