Em um movimento inusitado para sacudir a inércia corporativa, a Mandiant — divisão de segurança da Google Cloud — liberou publicamente uma tabela arco-íris (rainbow table) capaz de decifrar credenciais baseadas no protocolo NTLMv1 em cerca de 12 horas usando um PC de apenas US$ 600. A mensagem é clara: se sua empresa ainda depende desse protocolo lançado nos anos 1990, ela está a um passo de ter as senhas roubadas e ver a rede comprometida.
Por que isso importa para você — mesmo em 2024?
Embora a Microsoft tenha substituído o NTLMv1 pelo NTLMv2 em 1996 e, depois, pelo Kerberos, o protocolo antigo continua vivo em servidores, impressoras, scanners e outros dispositivos legados. O resultado é um “ponto cego” de segurança: basta um atacante disparar uma falsa solicitação de autenticação para capturar o hash e, usando a tabela da Mandiant, convertê-lo em uma senha válida para ataques de pass-the-hash.
Como a nova tabela funciona?
A Mandiant pré-computou todas as combinações possíveis dos 56 bits de chave do NTLMv1 (baseado em DES) e colocou o arquivo para download gratuito no Google Cloud Research Dataset. Com isso, qualquer analista — ou criminoso — pode subir o arquivo em um serviço de GPU na nuvem ou rodar localmente e quebrar o hash sem esforço. Trata-se de uma economia de tempo e dinheiro: antes, era preciso alugar rigs de mineração ou contratar serviços caros de “deshashing”.
Evidências de uso ainda preocupantes
Consultores da própria Mandiant relatam encontrar NTLMv1 ativo em auditorias de rotina. Campanhas recentes do grupo TA577, por exemplo, abusaram de emails maliciosos para disparar autenticações em impressoras legadas dentro das empresas. Mais grave: o CVE-2025-54918, divulgado semanas atrás, mostrava ataques de relay contra NTLMv1, reforçando o perigo real no cotidiano das organizações.
O dilema do legado: “se eu desligar, quebro o sistema”
Rob Finn, vice-presidente internacional da Chainguard, resume o problema: protocolos como o NTLMv1 ficam “escondidos” em firmware de terceiros. Mesmo que o time de TI desative o recurso no sistema operacional, um driver de impressora antigo ou um sensor industrial pode religá-lo sem avisar. O medo de parar um aplicativo crítico faz com que o protocolo siga habilitado “só por precaução” — e essa precaução já dura décadas.
Impacto prático: o que fazer agora?
1. Escaneie sua rede — Ferramentas como o Active Directory Health Check ou scripts em PowerShell identificam rapidamente onde o NTLMv1 ainda aparece.
2. Planeje a migração — Atualizar para NTLMv2 ou Kerberos pode exigir upgrade de firmware ou troca de equipamentos muito antigos. Aqui, vale comparar o custo do risco versus investir em novos dispositivos (impressoras, controladores, scanners), muitos deles disponíveis em promoções frequentes na Amazon.
3. Implemente MFA — Tokens de hardware como YubiKey ou chaves compatíveis com FIDO2 (que também podem ser encontrados em kits prontos na Amazon) criam uma camada extra caso um hash antigo vaze.
4. Defina prazos claros — Rob Anderson, da Reliance Cyber, recomenda tratar a presença de NTLMv1 como alto risco e estabelecer datas-limite para erradicação completa.
Imagem: John E
O futuro próximo: Windows 11 e Server 2025 sem NTLMv1
A Microsoft já confirmou que removerá totalmente o suporte ao NTLMv1 nas próximas versões do Windows. Quem não agir agora terá de correr quando o patch chegar — ou ficará impossibilitado de atualizar sistemas críticos. Migrar antecipadamente reduz sustos, evita paradas emergenciais e, de quebra, pode ser uma ótima desculpa para modernizar a infraestrutura de rede e impressão.
No fim do dia, a Mandiant não tornou o NTLMv1 mais fraco — ela apenas mostrou quão frágil ele sempre foi. A pergunta que resta é: você vai esperar sua senha aparecer na tabela ou vai aposentar o protocolo de vez?
Com informações de Computerworld
