A empresa de segurança Mandiant revelou uma tabela arco-íris que permite quebrar senhas administrativas protegidas pelo algoritmo de hash NTLMv1 obsoleto em menos de 12 horas usando hardware acessível. A ferramenta visa o uso persistente desse protocolo vulnerável em redes sensíveis. A Mandiant espera que isso incentive as organizações a abandonar a função descontinuada.
Pesquisadores de segurança da Mandiant introduziram um novo recurso para destacar os perigos do algoritmo de hash NTLMv1, obsoleto há muito tempo. Lançada em 16 de janeiro de 2026, a tabela arco-íris é um banco de dados pré-computado de valores de hash mapeados para senhas em texto plano. Ela permite a recuperação de credenciais protegidas por Net-NTLMv1 — usadas na autenticação de rede para serviços como compartilhamento de arquivos SMB — em menos de 12 horas em hardware de consumo custando menos de US$ 600. A tabela está hospedada no Google Cloud e funciona contra senhas geradas com o desafio de texto plano conhecido 1122334455667788. O NTLMv1 remonta à década de 1980, introduzido com o sistema operacional OS/2 da Microsoft. Suas fraquezas foram expostas pela primeira vez em 1999 pelo criptoanalista Bruce Schneier e pelo pesquisador Mudge. A Microsoft corrigiu essas falhas com o NTLMv2 em 1998 via Windows NT SP4. Apesar disso, e de um anúncio recente em agosto de 2025 para descontinuar o NTLMv1, o protocolo persiste em alguns setores críticos. Indústrias como saúde e sistemas de controle industrial frequentemente mantêm aplicativos legados incompatíveis com algoritmos mais novos, agravados por custos de migração e inércia operacional. «Ao lançar essas tabelas, a Mandiant visa reduzir a barreira para que profissionais de segurança demonstrem a insegurança do Net-NTLMv1», afirmou a empresa. Ferramentas de exploração existentes, como Responder, PetitPotam e DFSCoerce, podem coagir hashes Net-NTLMv1, mas quebrá-los anteriormente exigia recursos significativos ou serviços de terceiros. Consultores da Mandiant ainda encontram NTLMv1 em ambientes ativos, deixando as organizações vulneráveis a roubo fácil de credenciais. O feedback da comunidade de segurança tem sido positivo. Um profissional de infosec compartilhou no Mastodon: «Já tive mais de uma instância na minha (admitidamente curta) carreira em infosec onde precisei provar a fraqueza de um sistema e geralmente envolve deixar uma folha de papel na mesa deles com a senha no dia seguinte. Essas tabelas arco-íris não vão significar muito para atacantes, pois eles provavelmente já as têm ou têm métodos muito melhores, mas onde vai ajudar é em fazer o argumento de que o NTLMv1 é inseguro.» A Mandiant exorta a desativação imediata do Net-NTLMv1 e fornece orientação sobre etapas de migração. O lançamento serve como um chamado de alerta para os atrasados, enfatizando que o uso contínuo convida riscos evitáveis.»
