Mandiantは、旧式のNet-NTLMv1プロトコルを復号するために設計された網羅的なレインボーテーブルのリポジトリを公開しました。この取り組みは、1990年代後半から安全ではないと見なされてきた技術の陳腐化を加速させることを目的としています。脆弱性が何十年にもわたり綿密に文書化されてきたにもかかわらず、同プロトコルは企業インフラ内に残存し、認証のために今なお散発的に使用されています。
専門家は、Net-NTLMv1が残り続けているのは、技術的惰性と差し迫った脅威がないという認識が組み合わさった結果だと指摘しています。しかし、その内在する危険性を示すことは、いまや格段に容易になりました。従来、この種の侵害には、機密データを危険にさらす第三者のオンラインサービスの利用か、法外に高価なハードウェアの入手が必要でした。これらのテーブルの公開により、600ドル未満の一般向けハードウェアであっても、数時間以内にキーの復元が可能になります。
テーブルはGoogle Cloudの研究データポータルから入手でき、真正性はSHA512ハッシュで検証されています。パスワードクラッキング・コミュニティのメンバーはすでに特化版を派生させ、独立したプラットフォームでホストしています。攻撃の実行は、Extended Session Security(ESS)なしのNet-NTLMv1ハッシュを抽出することを前提とします。1122334455667788のような予測可能なシーケンスを利用することで、既知平文攻撃を実行できます。この手法により、ユーザーまたはコンピューターといったActive DirectoryオブジェクトのNTハッシュを復元でき、権限昇格への道が開かれます。
特に深刻なシナリオとして、ドメインコントローラーを代行する強制認証が挙げられます。そのアカウントハッシュを入手すると、攻撃者はDCSyncを用いてドメイン内の他のオブジェクトの資格情報を複製できる可能性があります。必要なハッシュを収集するため、実務者はESSを無効化し、固定の認証値に設定したResponderユーティリティを頻繁に使用します。取得後、ハッシュはDESコンポーネントに対応するセグメントに分割され、専用のレインボーテーブル検索 ソフトウェアによって処理されます。
最終段階では、完全なNTハッシュを再構成し、Hashcatの専用モードで検証します。その後、Impacketツールキットのsecretsdump.pyを用いてDCSync攻撃を実行できます。
Mandiantは、組織がWindowsのグループポリシーを通じてNet-NTLMv1を迅速に無効化しなければならないと強調しています。しかし、設定を変更するだけでは不十分で、侵入者がローカルアクセスを得て手動でシステムを脆弱な状態に戻してしまえば、脅威は残り続けます。迅速な検知のため、WindowsイベントログでイベントID 4624を監視し、認証情報のパッケージ名フィールドに「LM」または「NTLMv1」が含まれていないか精査することが推奨されます。本公開物は、オープンソース・インテリジェンス、リポジトリのコード、専門家の議論を基に、研究コミュニティの支援を受けて取りまとめられました。
翻訳元: https://meterpreter.org/the-end-of-ntlmv1-mandiant-releases-rainbow-tables-to-kill-legacy-logins/
