Nelle scorse ore, Mandiant ha pubblicato le tabelle rainbow complete per attaccare il protocollo NTLMv1. L'azienda specializzata in sicurezza informatica ha deciso di rendere pubblicamente disponibili strumenti che rendono banale il furto di credenziali su sistemi che ancora utilizzano questo protocollo obsoleto. L'obiettivo non è facilitare gli attacchi, ma costringere le organizzazioni rimaste indietro ad abbandonare finalmente una tecnologia che espone le loro reti a rischi elevatissimi.
La storia del protocollo NTLMv1 è un monito a come l'inerzia tecnologica possa trasformarsi in un problema di sicurezza critico. Microsoft introdusse questa tecnologia negli anni Ottanta con il rilascio del sistema operativo OS/2, ma già nel 1999 il celebre crittografo Bruce Schneier insieme a Mudge pubblicarono una ricerca che evidenziava gravi vulnerabilità nella sua architettura di base. Nonostante queste evidenze pubbliche, il protocollo ha continuato a essere utilizzato per decenni.
Il punto di svolta nella comprensione dei rischi reali arrivò durante la conferenza Defcon 20 del 2012, quando alcuni ricercatori dimostrarono come fosse possibile passare da un accesso di rete semplice a privilegi amministrativi completi in appena sessanta secondi sfruttando le debolezze del protocollo. Microsoft aveva già rilasciato la versione corretta, NTLMv2, nel 1998 con Windows NT SP4, ma l'adozione è stata drammaticamente lenta. Tanto che solo nell'agosto scorso l'azienda di Redmond ha annunciato l'intenzione di deprecare ufficialmente NTLMv1.
Secondo quanto riportato da Mandiant, i consulenti dell'azienda continuano a identificare l'utilizzo di questo protocollo legacy in ambienti attivi presso numerose organizzazioni. La persistenza di NTLMv1 viene attribuita principalmente all'inerzia organizzativa e alla mancanza di una percezione immediata del rischio. Le tabelle pubblicate facilitano gli attacchi fornendo risultati hash per ogni byte utilizzando la challenge di testo in chiaro conosciuta 1122334455667788.
Il meccanismo di attacco sfrutta il fatto che gli hash Net-NTLM vengono generati combinando la password dell'utente con la challenge: conoscendo quest'ultima, diventa elementare compromettere l'account utilizzando le tabelle rese disponibili. Gli strumenti comunemente impiegati in questi attacchi includono Responder, PetitPotam e DFSCoerce, già ampiamente diffusi nell'arsenale degli attaccanti.
La reazione della comunità di esperti di sicurezza informatica è stata sorprendentemente positiva. In una discussione su Mastodon, ricercatori e amministratori di sistema hanno accolto favorevolmente l'iniziativa, sostenendo che fornirà loro argomenti più convincenti quando dovranno persuadere i responsabili aziendali a investire nella migrazione verso sistemi più sicuri. Come ha commentato un professionista del settore, durante la sua carriera nella sicurezza informatica ha dovuto più volte dimostrare la debolezza di un sistema lasciando sulla scrivania dei dirigenti un foglio con la loro password compromessa.
La questione non riguarda solo le organizzazioni che utilizzano reti Windows. L'ecosistema Microsoft nel suo complesso ha mostrato lentezza nell'abbandonare questa tecnologia vulnerabile. Le tabelle rainbow pubblicate da Mandiant probabilmente non rappresentano una novità significativa per gli attaccanti sofisticati, che già dispongono di questi strumenti o di metodi ancora più efficaci. Il vero valore dell'iniziativa sta nel rafforzare l'argomento che NTLMv1 è intrinsecamente insicuro e deve essere dismesso immediatamente.
Il documento pubblicato da Mandiant include anche indicazioni operative di base per abbandonare NTLMv1, con collegamenti a istruzioni più dettagliate per facilitare la transizione. L'azienda è categorica nella sua raccomandazione: le organizzazioni devono disabilitare immediatamente l'uso di Net-NTLMv1. Chi subirà attacchi informatici per non aver seguito questo consiglio potrà incolpare solamente se stesso, considerando che le vulnerabilità sono note da oltre due decenni e gli strumenti per sfruttarle sono ora pubblicamente accessibili a chiunque.
