Mandiant publikuje tęczowe tablice łamiące NTLMv1 w 12 godzin. Czas definitywnie porzucić przestarzały protokół
Czasem trzeba pokazać włamywaczom, jak otwierać zamki, aby właściciele w końcu zrozumieli, że ich zabezpieczenia są do niczego. Firma Mandiant, należąca do Google Cloud, wypuściła do publicznej dystrybucji kompletny zestaw tęczowych tablic umożliwiających złamanie dowolnego hasła chronionego protokołem NTLMv1. To wykalkulowany ruch mający na celu wywołanie paniki wystarczającej, aby organizacje w końcu zrozumiały, że używają technologii, której słabości są powszechnie znane od 1999 roku.
Mandiant udostępnił publicznie tęczowe tablice pozwalające na złamanie dowolnego hasła chronionego protokołem NTLMv1 w ciągu 12 godzin na sprzęcie konsumenckim za mniej niż 600 dolarów. To desperacka próba zmuszenia organizacji do porzucenia niebezpiecznej technologii.
![Mandiant publikuje tęczowe tablice łamiące NTLMv1 w max 12 godzin. Czas definitywnie porzucić przestarzały protokół [1]](/image/news/2026/01/19_mandiant_publikuje_teczowe_tablice_lamiace_ntlmv1_w_max_12_godzin_czas_definitywnie_porzucic_przestarzaly_protokol_0_b.jpg)
Microsoft Copilot podatny na exploit Reprompt. Jedno kliknięcie wystarczy do kradzieży danych użytkownika
Opublikowany przez Mandiant zestaw danych pozwala na odzyskanie kluczy kryptograficznych z hashy Net-NTLMv1 w mniej niż 12 godzin, wykorzystując konsumencki sprzęt wyceniony na mniej niż 600 dolarów. To ogromna zmiana w porównaniu do poprzedniego status quo, gdzie łamanie NTLMv1 wymagało albo przesyłania wrażliwych danych do zewnętrznych serwisów typu crack.sh, albo dysponowania kosztownym sprzętem GPU. Teraz każdy specjalista ds. bezpieczeństwa, a także każdy atakujący, może lokalnie przeprowadzić atak w stylu known plaintext attack na przechwycone hashe, wykorzystując challenge o wartości 1122334455667788. Tablice działają z narzędziami takimi jak rainbowcrack czy RainbowCrack-NG, a proces wymaga jedynie uprzedniego przetworzenia hashy narzędziem ntlmv1-multi, które rozbija je na komponenty DES.
Net-NTLMv1 is outdated, insecure, and must go.
— Mandiant (part of Google Cloud) (@Mandiant) January 16, 2026
To help defenders prove the risk and accelerate deprecation, we’ve released a comprehensive dataset of rainbow tables. See how easily these keys can be recovered, and secure your environment.
Read more: https://t.co/g4gjEAhCiv pic.twitter.com/2V1qD3b8h7
Odkryto VoidLink – wyrafinowany framework C2 dla systemów Linux w środowiskach kontenerowych i chmurowych
Historia NTLMv1 to opowieść o ignorancji i inercji. Protokół ten Microsoft wprowadził jeszcze w latach 80. wraz z systemem OS/2, a kryptoanaliza jego największych słabości została opublikowana przez Bruce'a Schneiera i Mudge'a już w 1999 roku. Na konferencji Defcon 20 badacze demonstrowali toolkit ZackAttack, który pozwalał na eskalację od gościa sieciowego do administratora w 60 sekund. Microsoft wprowadził NTLMv2 już w 1998 roku wraz z Windows NT SP4, naprawiając znane problemy. Mimo tego dopiero w sierpniu 2025 roku firma oficjalnie ogłosiła plany wycofania NTLMv1, a faktycznie usunęła protokół z Windows 11 24H2 i Windows Server 2025. Przez te wszystkie lata organizacje wolały żyć w przekonaniu, że skoro nie ma głośnych incydentów, to ryzyko jest teoretyczne.
Hakerzy wykradli dane milionów osób z Instagrama. Wszystko już dostępne w dark webie od kilku dni
Działanie Mandiant ma charakter prowokacyjny, ale celowy. Jak zauważają komentujący na Mastodon, tęczowe tablice nie są szczególnie przydatne dla atakujących. Ci mają już lepsze metody. Jednak dla administratorów i specjalistów bezpieczeństwa próbujących przekonać decydentów do inwestycji w migrację, możliwość położenia karty z hasłem szefa na jego biurku następnego ranka to argument nie do odparcia. Atak na NTLMv1 w praktyce wygląda tak: atakujący wykorzystuje narzędzia typu Responder z flagami --lm i --disable-ess, aby wymusić połączenia NTLMv1, a następnie stosuje techniki authentication coercion (wymuszania uwierzytelnienia), PetitPotam czy DFSCoerce, aby zmusić kontrolery domeny lub inne hosty do uwierzytelnienia. Przechwycone hashe kont maszyn (np. kontrolerów domeny) można następnie wykorzystać do DCSync attack, uzyskując pełną kontrolę nad całą domeną Active Directory. To scenariusz, który cyberprzestępcy realizują od lat, tyle że teraz bariera wejścia jest zerowa.
Hakerska operacja WrtHug na routery ASUS. Sprawdź, czy Twój domowy router został przejęty przez hakerów
Z perspektywy użytkownika końcowego sytuacja jest niepokojąca, ale mało co może zrobić indywidualnie. NTLMv1 to problem infrastruktury korporacyjnej. Jeśli pracujesz w organizacji używającej Active Directory, powinieneś alarmować dział IT. Mandiant w swoim poście dostarcza instrukcje dotyczące wyłączenia Net-NTLMv1, ale wymaga to audytu środowiska, identyfikacji systemów legacy i często żmudnej migracji starszych aplikacji. Bezpieczeństwo w IT to nie tylko kwestia technologii, ale przede wszystkim zarządzania długiem technicznym. Organizacje, które nie zainwestowały w modernizację w ciągu ostatnich 15 lat, teraz stoją przed ryzykiem przejęcia całej sieci przez protokół, którego słabości były udokumentowane, zanim część dzisiejszych administratorów w ogóle zaczęła studiować informatykę.
![Mandiant publikuje tęczowe tablice łamiące NTLMv1 w max 12 godzin. Czas definitywnie porzucić przestarzały protokół [2]](/image/news/2026/01/19_mandiant_publikuje_teczowe_tablice_lamiace_ntlmv1_w_max_12_godzin_czas_definitywnie_porzucic_przestarzaly_protokol_1_b.jpg)
Powiązane publikacje
AI miało pomóc programistom, a skasowało dane firmy w 9 sekund. Potem zaczęło się 30 godzin ratowania biznesu
23
Złośliwe wydanie elementary-data trafiło do PyPI. Błąd w GitHub Actions otworzył drogę do kradzieży tokenów i kluczy
2
Microsoft poza harmonogramem łata lukę w ASP.NET Core dla Linux i macOS. Problem siedział w Data Protection
11
Cisco IMC i NFVIS z krytyczną podatnością. Polska administracja zaleca natychmiastowy update lub wyłączenie sprzętu
22
