Mandiant發布NTLMv1破解工具促使企業放棄不安全協議

谷歌旗下的Mandiant安全部門采用了一種不尋常的策略來說服企業停止使用老舊且極不安全的NTLMv1身份驗證協議：發布一個數據查找表，讓攻擊者破解NTLMv1憑據變得輕而易舉。

Mandiant解釋說，其目的是引起人們對以下事實的關注：盡管幾十年來有大量證據表明NTLMv1（NT局域網管理器版本1）不安全，但企業仍在繼續使用它。任何人都可以使用Mandiant的Net-NTLMv1預計算彩虹表查找工具，該工具可從谷歌云研究數據集門戶下載，用于將給定的服務器響應映射以重構真實的NT哈希值。

當然，哈希值是真實密碼的數學表示，但對于使用傳遞哈希等技術進行攻擊的犯罪分子來說同樣有用。其好處是節省時間和金錢：Mandiant估計，其彩虹表允許使用一臺價值600美元的計算機在12小時內恢復NTLMv1密鑰，而不是依賴第三方服務或昂貴的硬件來暴力破解密鑰。

這一切都不會讓NTLMv1變得比現在更不安全或更容易被攻擊。Mandiant希望該表的發布能夠提醒人們問題的存在，促使企業最終從其網絡中移除NTLMv1。

該公司在其公告中表示："這個遺留協議讓企業容易遭受簡單的憑據盜竊，但由于惰性和缺乏明顯的即時風險演示，它仍然普遍存在。通過發布這些表，Mandiant旨在降低安全專業人員演示Net-NTLMv1不安全性的門檻。"

NTLMv1的技術背景

NTLMv1是1990年代的挑戰-響應協議，用于向Active Directory（AD）驗證Windows NT用戶身份。它基于1980年代的數據加密標準（DES）加密，1996年更新為更安全的NTLMv2，之后完全被Kerberos取代。不幸的是，像NTLMv1這樣的遺留協議不會簡單消失，而是作為后備方案保留，以防舊應用程序需要它們。這種后備方案已經持續了幾十年。

Mandiant有什么證據表明企業仍在使用NTLMv1？首先是軼事證據：該公司在上周的公告中指出："Mandiant顧問繼續在活躍環境中發現其使用。"

其次，網絡攻擊者經常以其為目標。例如，2024年TA577威脅組織的一次攻擊活動通過使用帶有陷阱的電子郵件向內部SMB資源（如遺留打印機）發送挑戰-響應身份驗證請求來針對NTLM哈希值。

最近的一次事件涉及針對特定NTLM漏洞CVE-2025-54918的身份驗證中繼攻擊，這發生在微軟宣布最終從Windows Server 2025和Windows 11中移除NTLMv1支持后僅幾周。

隱藏的安全風險

供應鏈安全公司Chainguard國際副總裁Rob Finn表示，即使是有安全意識的企業也可能被NTLMv1所困擾。

他說："像NTLMv1這樣的遺留協議深埋在第三方固件中。安全團隊可能在操作系統層面棄用NTLMv1，但遺留打印機驅動程序或工業傳感器可能通過未修補的、幾十年前的庫重新引入它。對于大多數公司來說，主要障礙不僅僅是知道NTLMv1不安全，而是知道它仍然存在。"

由于打印機等資源不對外暴露，人們容易假設它們超出了攻擊者的攻擊范圍。盡管如此，NTLMv1仍然可以通過中繼或強制技術從網絡外部進行攻擊，例如通過釣魚攻擊觸發身份驗證。

Finn表示："攻擊者不需要知道你在使用它。他們只需要探測系統就能發現。從根本上說，企業保持遺留協議活躍不是因為他們想要，而是因為他們害怕破壞關鍵的遺留應用程序。"

盡管微軟二十多年來一直建議企業升級到NTLMv2和Kerberos，但似乎并非所有人都收到了這個信息。Reliance Cyber反應式咨詢服務主管Rob Anderson表示："從加密角度來說，NTLMv1不僅僅是老舊，它簡直是考古級別的。NTLMv1仍然啟用，不是因為今天需要它，而是因為曾經需要它，沒有人足夠勇敢地關閉它并看看會發生什么。"

盡管存在這些擔憂，企業仍需要采取行動。Anderson建議："掃描其使用情況，找出使用原因，將其注冊為高風險，并著手移除它，設定可實現的截止日期。"

Q&A

Q1：Mandiant為什么要發布NTLMv1破解工具？

A：Mandiant發布這個工具的目的是引起企業對NTLMv1協議不安全性的關注。盡管該協議已被證明極不安全幾十年，但許多企業仍在使用它。通過發布預計算彩虹表查找工具，Mandiant希望降低安全專業人員演示NTLMv1不安全性的門檻，促使企業最終從網絡中移除這個遺留協議。

Q2：NTLMv1協議有什么安全問題？

A：NTLMv1是1990年代基于1980年代數據加密標準的挑戰-響應協議，在加密技術上已經過時。攻擊者可以輕易破解NTLMv1憑據，利用哈希值進行傳遞哈希攻擊。Mandiant的工具顯示，使用價值600美元的計算機就能在12小時內破解NTLMv1密鑰，這讓企業面臨簡單的憑據盜竊風險。

Q3：為什么企業仍在使用NTLMv1協議？

A：企業繼續使用NTLMv1主要是由于惰性和對破壞遺留應用程序的擔憂。許多NTLMv1協議深埋在第三方固件中，如遺留打印機驅動程序或工業傳感器的未修補庫中。企業保持這些遺留協議活躍不是因為需要，而是因為害怕關閉后會破壞關鍵的遺留應用程序。