Säkerhetsföretaget Mandiant har presenterat en regnbågstabell som gör det möjligt att knäcka administrativa lösenord skyddade av den föråldrade NTLMv1-hashalgoritmen på under 12 timmar med prisvärd hårdvara. Verktyget riktar sig mot den ihållande användningen av detta sårbara protokoll i känsliga nätverk. Mandiant hoppas att det ska få organisationer att överge den föråldrade funktionen.
Säkerhetsforskare på Mandiant har introducerat en ny resurs för att belysa farorna med den länge föråldrade NTLMv1-hashalgoritmen. Släppt den 16 januari 2026 är regnbågstabellen en förberäknad databas med hashvärden kopplade till klartextlösenord. Den gör det möjligt att återställa Net-NTLMv1-skyddade uppgifter – som används i nätverksautentisering för tjänster som SMB-fildelning – på under 12 timmar med konsumenthårdvara som kostar under 600 dollar. Tabellen är värd på Google Cloud och fungerar mot lösenord genererade med det kända klartextutmaningen 1122334455667788. NTLMv1 härstammar från 1980-talet och introducerades med Microsofts operativsystem OS/2. Dess svagheter exponerades först 1999 av kryptanalytikern Bruce Schneier och forskaren Mudge. Microsoft åtgärdade dessa brister med NTLMv2 1998 via Windows NT SP4. Trots detta, och en nylig tillkännagivelse i augusti 2025 om att avveckla NTLMv1, lever protokollet kvar i vissa kritiska sektorer. Branscher som hälso- och sjukvård samt industriella styrsystem håller ofta fast vid äldre applikationer som inte är kompatibla med nyare algoritmer, förvärrat av migrationskostnader och operativ tröghet. «Genom att släppa dessa tabeller siktar Mandiant på att sänka tröskeln för säkerhetspersonal att demonstrera osäkerheten i Net-NTLMv1», uppgav företaget. Befintliga utnyttjandeverktyg som Responder, PetitPotam och DFSCoerce kan tvinga fram Net-NTLMv1-hashar, men att knäcka dem krävde tidigare betydande resurser eller tredjepartstjänster. Mandiants konsulter stöter fortfarande på NTLMv1 i aktiva miljöer, vilket lämnar organisationer öppna för enkel stöld av uppgifter. Responsen från säkerhetsgemenskapen har varit positiv. En infosec-proffs delade på Mastodon: «Jag har haft mer än en instans i min (admittivt korta) infosec-karriär där jag fått bevisa ett systems svaghet och det involverar vanligtvis att jag lägger en pappersark på deras skrivbord med deras lösenord på det nästa morgon. Dessa regnbågstabeller kommer inte betyda mycket för angripare eftersom de troligen redan har dem eller har mycket bättre metoder, men där det hjälper är i att argumentera att NTLMv1 är osäkert.» Mandiant uppmanar till omedelbar inaktivering av Net-NTLMv1 och ger vägledning om migrationssteg. Släppet fungerar som en väckarklocka för eftersläntrare och betonar att fortsatt användning inbjuder till undvikbara risker.»
