Quebrar senhas de administradores de domínio do Windows ficou fácil. Um enorme conjunto de tabelas rainbow acaba de ser divulgado publicamente, um laptop de US$ 600 é suficiente e leva no máximo 12 horas. Essa falha existe desde 1999. A Microsoft a ignorou por 25 anos. Então o Google decidiu forçar a discussão.
A falha está no NTLMv1. Esse é um protocolo de autenticação de 1993. Quando uma máquina Windows faz login em uma rede, ela envia uma resposta criptografada com base na senha do usuário. O problema? Essa criptografia usa DES de 56 bits. Criptógrafos declararam esse protocolo obsoleto décadas atrás.
Em 1999, Bruce Schneier e Mudge publicaram um artigo mostrando exatamente por que isso era vulnerável. Mudge trabalhou posteriormente em pesquisa de segurança no Google, o mesmo Google que acaba de liberar essas tabelas por meio da Mandiant. O ciclo se fecha.
Veja como as tabelas rainbow funcionam. O NTLMv1 usa um valor de desafio previsível (1122334455667788) sempre, o que significa que os atacantes podem pré-calcular todas as respostas possíveis para esse desafio e armazená-las em uma tabela enorme. Depois de capturar o hash, você pesquisa na tabela e obtém a senha sem precisar adivinhar.
O que a Mandiant lançou foi um conjunto completo dessas tabelas, hospedado no Google Cloud e disponível gratuitamente para download.
Antes disso, era necessário enviar hashes confidenciais para serviços de terceiros ou comprar hardware caro. David Hulton criou um serviço de quebra de senhas chamado crack.sh usando chips personalizados. Funcionava, mas custava dinheiro e exigia confiança. Essa barreira foi removida.
A cadeia de ataque utiliza ferramentas que existem há anos:
→ O agente de resposta captura solicitações de login na rede
→ O PetitPotam força os controladores de domínio a autenticarem em servidores controlados pelo atacante
→ O hash capturado é inserido nas tabelas rainbow
→ 12 horas depois, a senha é revelada
→ O ataque DCSync expõe todas as senhas do Active Directory
→ Tomada de controle total do domínio
Na DEFCON 2012, pesquisadores demonstraram isso ao vivo no palco. De convidado a administrador de domínio em 60 segundos. A Microsoft já tinha conhecimento da vulnerabilidade há 13 anos. O NTLMv1 ainda estava habilitado por padrão.
Cronologia:
→ 1993: A Microsoft lança o NTLMv1 com o Windows NT
→ 1999: Schneier e Mudge publicam um artigo mostrando que ele é vulnerável
→ 2012: Uma demonstração na DEFCON mostra a tomada completa de um domínio em 60 segundos
→ 2021: A PetitPotam torna a autenticação forçada trivial
→ 2024: A Microsoft anuncia a descontinuação do NTLM
→ Janeiro de 2026: A Mandiant lança tabelas rainbow completas gratuitamente
Uma pesquisa da Silverfort descobriu que 64% das contas do Active Directory ainda usam alguma forma de NTLM. Sistemas de saúde executam aplicativos legados que nunca foram atualizados. Sistemas industriais precisam do NTLM para compatibilidade. Redes governamentais construídas há 20 anos nunca concluíram a migração.
A Microsoft finalmente removeu o NTLMv1 no Windows 11 24H2 e no Server 2025. Mas milhões de sistemas antigos ainda estão em execução.
Sinais de que sua rede pode estar vulnerável:
→ Aplicativos legados do início dos anos 2000 ainda em produção
→ Windows Server 2012 ou versões anteriores ainda em execução
→ Software que suporta apenas autenticação NTLM
→ ID de evento 4624 mostrando NTLMv1 nos logs de autenticação
A solução:
→ Desative o NTLMv1 por meio da Política de Grupo
→ Audite o ID de evento 4624 para encontrar sistemas que ainda usam o protocolo antigo
→ Atualize, substitua ou isole esses sistemas
Equipes de segurança argumentaram por anos que demonstrar esse risco era muito difícil. Esse argumento morreu no momento em que essas tabelas foram divulgadas.
A ironia? A divisão de segurança do Google acabou de facilitar o ataque a redes Windows, não para ajudar criminosos, mas para forçar os defensores a finalmente corrigirem o que os pesquisadores vêm alertando há 25 anos.
Quer entender como os invasores exploram sistemas Windows e se movem pelas redes? No meu curso de hacking ético, eu abordo exploração de vulnerabilidades do Windows, ataques a senhas e como os invasores se movem pelas redes:
→ https://www.udemy.com/.../ethical-hacking-complete.../...
Hacking não é um hobby, mas um estilo de vida.
Artigo:
https://thehackernews.com/2026/01/weekl ... dline.html
→ https://hackingpassion.com/cracking-win ... -admin.../
#EthicalHacking #NTLM #ActiveDirectory #CyberSecurity #InfoSec #WindowsSecurity #RainbowTables #RedTeam #PenetrationTesting #NetworkSecurity
Texto: Jolanda de Koff | HackingPassion.com
Compartilhar é permitido. Copiar sem dar os devidos créditos, não.
