Mandiant publica tabla arcoíris para descifrar contraseñas NTLMv1

La firma de seguridad Mandiant ha presentado una tabla arcoíris que permite descifrar contraseñas administrativas protegidas por el obsoleto algoritmo de hash NTLMv1 en menos de 12 horas con hardware asequible. La herramienta se dirige al uso persistente de este protocolo vulnerable en redes sensibles. Mandiant espera que impulse a las organizaciones a abandonar la función obsoleta.

Los investigadores de seguridad de Mandiant han introducido un nuevo recurso para resaltar los peligros del algoritmo de hash NTLMv1, obsoleto desde hace tiempo. Lanzada el 16 de enero de 2026, la tabla arcoíris es una base de datos precomputada de valores hash mapeados a contraseñas en texto plano. Permite recuperar credenciales protegidas por Net-NTLMv1 —utilizadas en la autenticación de red para servicios como el uso compartido de archivos SMB— en menos de 12 horas en hardware de consumo que cuesta menos de 600 dólares. La tabla está alojada en Google Cloud y funciona contra contraseñas generadas con el desafío de texto plano conocido 1122334455667788. NTLMv1 se remonta a la década de 1980, introducido con el sistema operativo OS/2 de Microsoft. Sus debilidades fueron expuestas por primera vez en 1999 por el criptoanalista Bruce Schneier y el investigador Mudge. Microsoft abordó estos fallos con NTLMv2 en 1998 mediante Windows NT SP4. A pesar de esto, y de un reciente anuncio en agosto de 2025 para obsoletar NTLMv1, el protocolo persiste en algunos sectores críticos. Industrias como la sanitaria y los sistemas de control industrial a menudo se mantienen con aplicaciones heredadas incompatibles con algoritmos más nuevos, agravado por los costos de migración y la inercia operativa. «Al publicar estas tablas, Mandiant busca reducir la barrera para que los profesionales de seguridad demuestren la inseguridad de Net-NTLMv1», afirmó la firma. Las herramientas de explotación existentes, como Responder, PetitPotam y DFSCoerce, pueden forzar hashes Net-NTLMv1, pero descifrarlos anteriormente requería recursos significativos o servicios de terceros. Los consultores de Mandiant aún encuentran NTLMv1 en entornos activos, dejando a las organizaciones expuestas a robos fáciles de credenciales. La retroalimentación de la comunidad de seguridad ha sido positiva. Un profesional de infosec compartió en Mastodon: «He tenido más de una instancia en mi (admitidamente corta) carrera en infosec donde he tenido que demostrar la debilidad de un sistema y suele implicar dejar una hoja de papel en su escritorio con su contraseña al día siguiente. Estas tablas arcoíris no significarán mucho para los atacantes, ya que probablemente ya las tienen o tienen métodos mucho mejores, pero donde ayudarán es en argumentar que NTLMv1 es inseguro». Mandiant insta a desactivar inmediatamente Net-NTLMv1 y proporciona orientación sobre los pasos de migración. La publicación sirve como llamada de atención para los rezagados, enfatizando que el uso continuado invita a riesgos evitables.

Artículos relacionados

A newly published zero-day exploit allows attackers with physical access to bypass BitLocker encryption on Windows 11 devices in seconds. The attack, named YellowKey, targets the default TPM-only configuration and grants full access to encrypted drives via a simple USB-based method.

Reportado por IA

Researchers have uncovered a large-scale compromise of Fortinet firewalls that exposed plaintext credentials for nearly 74,000 devices across 194 countries. The breach affects organizations including Oracle, Chevron, Lenovo, FedEx, and Fortinet itself, along with a NATO defense contractor.

A newly discovered flaw in Trend Micro's Apex One allows hackers to inject malicious code. The zero-day vulnerability is being actively exploited.

Reportado por IA

The FBI has issued a warning about a new phishing kit called Kali365 that targets Microsoft OAuth tokens. The kit is being offered on Telegram and uses AI-generated lures.

Este sitio web utiliza cookies

Utilizamos cookies para análisis con el fin de mejorar nuestro sitio. Lee nuestra política de privacidad para más información.
Rechazar