Η Google παρέχει πλέον πρακτική βοήθεια για το «σπάσιμο» NTLM-hashes και με αυτό τον τρόπο προκαλεί τόσο τη Microsoft όσο και τους administrators που ανησυχούν για την ασφάλεια των Windows δικτύων τους.
Το NTLM της Microsoft είναι ένας εφιάλτης ασφάλειας που μοιάζει να μην τελειώνει ποτέ.
Παρότι εδώ και χρόνια βρίσκεται σε πορεία κατάργησης, εξακολουθεί να υπάρχει στα περισσότερα Windows δίκτυα και αξιοποιείται συστηματικά από εγκληματίες, π.χ. σε ransomware επιθέσεις.
Και τώρα η Mandiant της Google κάνει την κατάσταση ακόμη χειρότερη — τουλάχιστον φαινομενικά.
Ο λόγος: δημοσιεύει τις λεγόμενες rainbow tables, που κάνουν την ανακατασκευή κωδικών από υποκλαπείσες προσπάθειες αυθεντικοποίησης πολύ πιο εύκολη.
Πίσω από αυτό, όμως, υπάρχει ένα κατανοητό σχέδιο.
Τι είναι το NTLM και γιατί θεωρείται επικίνδυνο
Το NT LAN Manager (NTLM) είναι το παλαιότερο σχήμα αυθεντικοποίησης σε Windows δίκτυα.
Ήδη από το 2000, ο διάδοχος Kerberos είναι το προεπιλεγμένο (default) — και όχι τυχαία: το NTLM αποτελεί άμεσο ρίσκο ασφάλειας.
Ιδίως όταν χρησιμοποιείται Net-NTLMv1, επιτιθέμενοι μπορούν, μέσω τεχνητά «εξαναγκασμένων» διαδικασιών σύνδεσης (Coercion), να οδηγηθούν στην ανακατασκευή του κωδικού που χρησιμοποιήθηκε.
Εν τούτοις, υπάρχουν ακόμη πολλές «γωνιές» (niches) όπου το NTLM θεωρείται απαραίτητο, με αποτέλεσμα η Microsoft να μην έχει καταφέρει να το αφαιρέσει πλήρως.
Και επειδή σε πολλά Windows συστήματα συνεχίζει να υπάρχει, ένας επιτιθέμενος μπορεί να επιβάλει downgrade και να αποσπάσει διαπιστευτήρια.
«Υπολογισμένο τελειωτικό χτύπημα»: οι rainbow tables της Google
Το «σπάσιμο» των κωδικών γίνεται στη συνέχεια με rainbow tables. Πρόκειται για πίνακες με προϋπολογισμένες ενδιάμεσες τιμές του επίπονου υπολογισμού, ώστε το υπόλοιπο της διαδικασίας να ολοκληρώνεται πολύ γρηγορότερα (τη θεωρία εξηγεί και σχετικό άρθρο του heise, «Von Wörterbüchern und Regenbögen»).
Ακριβώς αυτούς τους εκτεταμένους πίνακες διαθέτει τώρα η Google για ελεύθερο download, ώστε θεωρητικά οποιοσδήποτε, σε συνδυασμό με ελεύθερα διαθέσιμα εργαλεία cracking (π.χ. John the Ripper), να μπορεί να το κάνει ακόμη και από ένα laptop.
Αυτή είναι και η πρόθεση της Google:
«Με τη δημοσίευση αυτών των πινάκων, η Mandiant θέλει να μειώσει το εμπόδιο για τους ειδικούς ασφάλειας που θέλουν να αποδείξουν την ανασφάλεια του Net-NTLMv1», αναφέρουν, αιτιολογώντας αυτό το δραστικό βήμα.
Το σκεπτικό μπορεί να πετύχει: ένα «σπασμένο μπροστά στα μάτια σου» password ενδέχεται να πείσει ακόμη και τη διοίκηση ότι πρέπει να προχωρήσει άμεσα η σκλήρυνση (hardening) του Windows δικτύου.
Το σημαντικότερο: αυξάνει την πίεση στη Microsoft να ολοκληρώσει επιτέλους την κατάργηση του NTLM, που σέρνεται εδώ και δεκαετίες.
Το πρόσθετο ρίσκο, από την άλλη, θεωρείται περιορισμένο: rainbow cracking ως online υπηρεσία υπήρχε ήδη πριν από 20 χρόνια και οι απαιτούμενοι πίνακες κυκλοφορούν εδώ και πάρα πολύ καιρό.
Όποιος τους ήθελε πραγματικά, μπορούσε να τους βρει. Οι επιθέσεις επίμονων δραστών δεν αποτυγχάνουν επειδή «λείπουν» rainbow tables.
Βοήθεια για admins: το δύσκολο είναι η μεταβατική περίοδος
Το μεγαλύτερο πρόβλημα είναι τα μέτρα προστασίας στην περίοδο μετάβασης, μέχρι η Microsoft να «τραβήξει οριστικά την πρίζα».
Η Google γράφει απλά:
«Οι οργανισμοί πρέπει να απενεργοποιήσουν άμεσα τη χρήση του Net-NTLMv1.»
Στην πράξη, όμως, αυτό συχνά δεν είναι καθόλου «εύκολο», ειδικά σε πραγματικά εταιρικά Windows δίκτυα με legacy εφαρμογές και παλιές συσκευές.
Υπάρχει λόγος που η Microsoft καθυστερεί τόσο πολύ το οριστικό τέλος του NTLM: στην εφαρμογή προκύπτουν συχνά προβλήματα.
Γι’ αυτό και είχαν υπάρξει ήδη το 2024 πρακτικές οδηγίες προς administrators (π.χ. μέσω webinar) σχετικά με το NTLM και τη σωστή διαχείρισή του.
Παρόλα αυτά, οι admins πρέπει να το αντιμετωπίσουν άμεσα και να σκληρύνουν την αυθεντικοποίηση στο Windows περιβάλλον τους.
Αυτό περιλαμβάνει και το «δάμασμα» του Kerberos, το οποίο επίσης έχει ιστορικό προβλημάτων ασφάλειας, όπως επιθέσεις τύπου Kerberoasting, καθώς και σενάρια με Golden/Silver Tickets (ticket‑granting tickets), που μπορούν να επιτρέψουν σε επιτιθέμενο να εκδίδει ο ίδιος tokens αυθεντικοποίησης.
Πρακτικός οδηγός μετάβασης: από NTLM σε πιο ασφαλή αυθεντικοποίηση
Πως να ξεκινήσεις χωρίς να «σπάσεις» το δίκτυο
Η ασφαλής μετάβαση δεν είναι “off με ένα κουμπί”. Στόχος είναι να εντοπίσεις πού χρησιμοποιείται NTLM, να μειώσεις το ρίσκο και μετά να απενεργοποιήσεις σταδιακά, με ελεγχόμενο τρόπο.
1) Καταγραφή χρήσης (Audit) πριν την απενεργοποίηση
Ξεκίνα με πολιτικές audit ώστε να δεις:
- ποιοι servers/clients κάνουν NTLM logons
- ποιες εφαρμογές/υπηρεσίες το απαιτούν
- ποιοι λογαριασμοί (service accounts) εμπλέκονται
Χρήσιμη πρακτική: βάλε ως KPI το «NTLM footprint» ανά OU/τμήμα και μείωσέ το ανά εβδομάδα.
2) Μείωσε το ρίσκο του NTLMv1 άμεσα
Χωρίς να μπεις σε επιθετικές αλλαγές παντού, στόχευσε πρώτα στο NTLMv1/LM:
- Ρύθμιση του LAN Manager authentication level ώστε να αποφεύγεται το NTLMv1.
- Έλεγχος για legacy συσκευές (παλιοί scanners/MFP, NAS, παλαιά λογισμικά) που συχνά “κρατάνε πίσω” την αναβάθμιση.
3) Σταδιακό περιορισμό NTLM (Restrict NTLM)
Πολλοί οργανισμοί πετυχαίνουν καλύτερα αποτελέσματα με φάσεις:
- Audit mode (πρώτα βλέπεις τι θα σπάσει)
- Deny σε συγκεκριμένα endpoints
- Deny by default μόνο όταν έχεις καθαρίσει τις εξαιρέσεις
Kerberos hardening (για να μη μεταφέρεις απλώς το πρόβλημα αλλού)
Service accounts και Kerberoasting
Δώσε προτεραιότητα σε:
- ισχυρούς/μακρούς κωδικούς ή managed identities όπου γίνεται
- περιορισμό δικαιωμάτων service accounts (least privilege)
- τακτικό review των SPNs και των accounts που μπορούν να ζητήσουν tickets
Παρακολούθηση (Monitoring) και ανίχνευση ανωμαλιών
Σύνδεσε logs του AD με SIEM/EDR και ορισμό alerts για:
- απότομες αυξήσεις σε αποτυχημένα logons
- ασυνήθιστα patterns ticket requests
- ύποπτη πλευρική κίνηση (lateral movement)
Τι να πεις στη διοίκηση (για να εγκριθεί το project)
Η μετάβαση από NTLM δεν είναι “τεχνική λεπτομέρεια”, είναι risk-reduction πρόγραμμα που μειώνει:
- πιθανότητα παραβίασης credentials
- blast radius σε ransomware
- χρόνο αποκατάστασης (MTTR) μετά από incident
Με ένα απλό πλάνο 30/60/90 ημερών (Audit → Περιορισμοί → Κατάργηση), το έργο γίνεται μετρήσιμο και εφαρμόσιμο.
