Công ty an ninh mạng Mandiant mới đây đã công bố một bộ rainbow table nhắm vào giao thức NTLMv1, cho phép bẻ khóa mật khẩu tài khoản quản trị có cấu hình bảo mật yếu chỉ trong vòng 12 giờ.
Rainbow table là một cơ sở dữ liệu khổng lồ đã được tính toán sẵn, lưu trữ số lượng lớn mật khẩu dạng rõ (plaintext) cùng với các giá trị hash tương ứng. Tin tặc có thể sử dụng phương pháp “tra bảng” để nhanh chóng suy ngược từ hash ra mật khẩu gốc, mà không cần tốn thời gian brute-force.
Mandiant cho biết việc công bố bộ rainbow table này nhằm minh họa chi phí tấn công thấp nhưng hiệu quả cực cao, từ đó cảnh báo các doanh nghiệp cần nghiêm túc nhìn nhận những rủi ro bảo mật của giao thức cũ này. Công ty nhấn mạnh rằng, dù lỗ hổng của NTLMv1 đã là điều được thừa nhận rộng rãi trong ngành, nhưng nhiều tổ chức vẫn chưa nâng cấp do quán tính kỹ thuật, khiến môi trường mạng của họ rất dễ bị tấn công đánh cắp thông tin xác thực.
Bộ rainbow table lần này chủ yếu dựa trên nguyên lý tấn công với bản rõ đã biết (Known Plaintext Attack). Do giá trị hash Net-NTLM được tạo ra từ mật khẩu người dùng kết hợp với một mã thách thức (challenge) cụ thể, nên kẻ tấn công chỉ cần sử dụng mã thách thức mặc định 1122334455667788 cùng với bảng rainbow table này là có thể dễ dàng khôi phục mật khẩu tài khoản.
Tham khảo thêm tại đây
Trong các kịch bản tấn công thực tế, tin tặc thường kết hợp các công cụ như Responder, PetitPotam hoặc DFSCoerce để dụ máy chủ thực hiện xác thực, thu thập hash, rồi nhanh chóng hoàn tất quá trình bẻ khóa bằng bảng rainbow table nói trên.
Lịch sử của giao thức NTLMv1 có thể truy ngược về thập niên 1980, thời điểm Microsoft phát hành hệ điều hành OS/2. Ngay từ năm 1999, các nhà mật mã học như Bruce Schneier đã công khai chỉ ra những khiếm khuyết cốt lõi của giao thức này. Đến hội nghị Defcon 2012, các nhà nghiên cứu thậm chí còn trình diễn cách leo thang đặc quyền từ tài khoản khách lên quản trị viên chỉ trong 60 giây.
Mặc dù Microsoft đã giới thiệu NTLMv2 để khắc phục các lỗ hổng này từ khi phát hành Windows NT SP4 năm 1998, nhưng mãi đến tháng 8 năm 2025 hãng mới chính thức tuyên bố loại bỏ NTLMv1 trên Windows 11 và Windows Server 2025.