·
彩虹表是一种预先计算好的庞大数据库,存储了大量明文密码及其对应的哈希值。黑客利用它可以通过“查表”的方式,极快地从哈希值反推出原始密码,而无需耗时进行暴力破解。
Mandiant 此举意在通过展示攻击的低成本与高效率,警示企业必须正视这一老旧协议的安全隐患。该公司强调,尽管 NTLMv1 存在的漏洞已是行业共识,但许多组织仍因技术惯性未进行升级。
此次发布的彩虹表主要基于“已知明文攻击”(Known Plaintext Attack)原理。由于 Net-NTLM 哈希值是由用户密码和特定的质询码(Challenge)生成的,攻击者只需利用预设的质询码 1122334455667788 配合该彩虹表,即可轻松还原账户密码。
在实际攻击场景中,黑客通常会结合 Responder、PetitPotam 或 DFSCoerce 等工具,诱导服务器进行身份验证并捕获哈希值,进而利用该表快速完成破解。
NTLMv1 协议的历史可追溯至上世纪 80 年代微软发布 OS/2 时期。
早在 1999 年,密码学家 Bruce Schneier 等人就已公开揭露其底层缺陷。
2012 年 Defcon 大会上更有研究者展示了在 60 秒内从访客权限提权至管理员的方法。
微软早于 1998 年发布 Windows NT SP4 时便引入了修复该缺陷的 NTLMv2,但直到 2025 年 8 月才正式宣布将 Windows 11 及 Server 2025 从中弃用 NTLMv1。
目前微软发布的 KB5066470 已弃用 NTLMv1。
