/
Mandiant发布NTLMv1破解工具促使企业放弃不安全协议
谷歌旗下的Mandiant安全部门采用了一种不寻常的策略来说服企业停止使用老旧且极不安全的NTLMv1身份验证协议:发布一个数据查找表,让攻击者破解NTLMv1凭据变得轻而易举。
Mandiant解释说,其目的是引起人们对以下事实的关注:尽管几十年来有大量证据表明NTLMv1(NT局域网管理器版本1)不安全,但企业仍在继续使用它。任何人都可以使用Mandiant的Net-NTLMv1预计算彩虹表查找工具,该工具可从谷歌云研究数据集门户下载,用于将给定的服务器响应映射以重构真实的NT哈希值。
当然,哈希值是真实密码的数学表示,但对于使用传递哈希等技术进行攻击的犯罪分子来说同样有用。其好处是节省时间和金钱:Mandiant估计,其彩虹表允许使用一台价值600美元的计算机在12小时内恢复NTLMv1密钥,而不是依赖第三方服务或昂贵的硬件来暴力破解密钥。
这一切都不会让NTLMv1变得比现在更不安全或更容易被攻击。Mandiant希望该表的发布能够提醒人们问题的存在,促使企业最终从其网络中移除NTLMv1。
该公司在其公告中表示:"这个遗留协议让企业容易遭受简单的凭据盗窃,但由于惰性和缺乏明显的即时风险演示,它仍然普遍存在。通过发布这些表,Mandiant旨在降低安全专业人员演示Net-NTLMv1不安全性的门槛。"
NTLMv1的技术背景
NTLMv1是1990年代的挑战-响应协议,用于向Active Directory(AD)验证Windows NT用户身份。它基于1980年代的数据加密标准(DES)加密,1996年更新为更安全的NTLMv2,之后完全被Kerberos取代。不幸的是,像NTLMv1这样的遗留协议不会简单消失,而是作为后备方案保留,以防旧应用程序需要它们。这种后备方案已经持续了几十年。
Mandiant有什么证据表明企业仍在使用NTLMv1?首先是轶事证据:该公司在上周的公告中指出:"Mandiant顾问继续在活跃环境中发现其使用。"
其次,网络攻击者经常以其为目标。例如,2024年TA577威胁组织的一次攻击活动通过使用带有陷阱的电子邮件向内部SMB资源(如遗留打印机)发送挑战-响应身份验证请求来针对NTLM哈希值。
最近的一次事件涉及针对特定NTLM漏洞CVE-2025-54918的身份验证中继攻击,这发生在微软宣布最终从Windows Server 2025和Windows 11中移除NTLMv1支持后仅几周。
隐藏的安全风险
供应链安全公司Chainguard国际副总裁Rob Finn表示,即使是有安全意识的企业也可能被NTLMv1所困扰。
他说:"像NTLMv1这样的遗留协议深埋在第三方固件中。安全团队可能在操作系统层面弃用NTLMv1,但遗留打印机驱动程序或工业传感器可能通过未修补的、几十年前的库重新引入它。对于大多数公司来说,主要障碍不仅仅是知道NTLMv1不安全,而是知道它仍然存在。"
由于打印机等资源不对外暴露,人们容易假设它们超出了攻击者的攻击范围。尽管如此,NTLMv1仍然可以通过中继或强制技术从网络外部进行攻击,例如通过钓鱼攻击触发身份验证。
Finn表示:"攻击者不需要知道你在使用它。他们只需要探测系统就能发现。从根本上说,企业保持遗留协议活跃不是因为他们想要,而是因为他们害怕破坏关键的遗留应用程序。"
尽管微软二十多年来一直建议企业升级到NTLMv2和Kerberos,但似乎并非所有人都收到了这个信息。Reliance Cyber反应式咨询服务主管Rob Anderson表示:"从加密角度来说,NTLMv1不仅仅是老旧,它简直是考古级别的。NTLMv1仍然启用,不是因为今天需要它,而是因为曾经需要它,没有人足够勇敢地关闭它并看看会发生什么。"
尽管存在这些担忧,企业仍需要采取行动。Anderson建议:"扫描其使用情况,找出使用原因,将其注册为高风险,并着手移除它,设定可实现的截止日期。"
Q&A
Q1:Mandiant为什么要发布NTLMv1破解工具?
A:Mandiant发布这个工具的目的是引起企业对NTLMv1协议不安全性的关注。尽管该协议已被证明极不安全几十年,但许多企业仍在使用它。通过发布预计算彩虹表查找工具,Mandiant希望降低安全专业人员演示NTLMv1不安全性的门槛,促使企业最终从网络中移除这个遗留协议。
Q2:NTLMv1协议有什么安全问题?
A:NTLMv1是1990年代基于1980年代数据加密标准的挑战-响应协议,在加密技术上已经过时。攻击者可以轻易破解NTLMv1凭据,利用哈希值进行传递哈希攻击。Mandiant的工具显示,使用价值600美元的计算机就能在12小时内破解NTLMv1密钥,这让企业面临简单的凭据盗窃风险。
Q3:为什么企业仍在使用NTLMv1协议?
A:企业继续使用NTLMv1主要是由于惰性和对破坏遗留应用程序的担忧。许多NTLMv1协议深埋在第三方固件中,如遗留打印机驱动程序或工业传感器的未修补库中。企业保持这些遗留协议活跃不是因为需要,而是因为害怕关闭后会破坏关键的遗留应用程序。
0赞好文章,需要你的鼓励
推荐文章
Replit携手RevenueCat,助力“氛围编程“开发者实现应用变现
Replit与RevenueCat达成合作,将订阅变现工具直接集成至Replit平台。用户只需通过自然语言提示(如"添加订阅"),即可完成应用内购和订阅配置,无需离开平台。RevenueCat管理超8万款应用的订阅业务,每月处理约10亿美元交易。此次合作旨在让"氛围编程"用户在构建应用的同时即可实现商业变现,月收入未达2500美元前免费使用,超出后收取1%费用。
北京大学携手北邮,教AI“感知光线“——让生成视频真正懂得光影的秘密
LiVER是由北京大学、北京邮电大学等机构联合提出的视频生成框架,核心创新是将物理渲染技术与AI视频生成结合,通过Blender引擎计算漫反射、粗糙GGX和光泽GGX三种光照图像构成"场景代理",引导视频扩散模型生成光影物理准确的视频。框架包含渲染器智能体、轻量化编码器适配器和三阶段训练策略,支持对光照、场景布局和摄像机轨迹的独立精确控制。配套构建的LiVERSet数据集含约11000段标注视频,实验显示该方法在视频质量和控制精度上均优于现有方法。
所有人都在谈AI护栏,但真正在构建它的人在哪里?
所有人都说AI需要护栏,但真正在构建它的人寥寥无几。SkipLabs创始人Julien Verlaguet深耕这一问题已逾一年,他发现市面上多数"护栏"不过是提示词包装。为此,他打造了专为后端服务设计的AI编程智能体Skipper,基于健全的TypeScript类型系统与响应式运行时,实现增量式代码生成与测试,内部基准测试通过率超90%。他认为,编程语言的"人类可读性时代"正走向终结,面向智能体的精确工具链才是未来。
米拉-魁北克AI研究所教会小模型“聪明干活“:用更少数据超越GPT-4o的网页智能体训练秘诀
这项由蒙特利尔学习算法研究所(Mila)与麦吉尔大学联合发布的研究(arXiv:2604.07776,2026年4月)提出了AGENT-AS-ANNOTATORS框架,通过模仿人类数据标注的三种角色分工,系统化生成高质量网页智能体训练轨迹。以Gemini 3 Pro为教师模型,仅用2322条精选轨迹对90亿参数的Qwen3.5-9B模型进行监督微调,在WebArena基准上达到41.5%成功率,超越GPT-4o和Claude 3.5 Sonnet,并在从未见过的企业平台WorkArena L1上提升18.2个百分点,验证了"数据质量远比数量重要"这一核心结论。
2026
01/22
09:41
分享
点赞
Replit携手RevenueCat,助力"氛围编程"开发者实现应用变现
所有人都在谈AI护栏,但真正在构建它的人在哪里?
Chrome版Gemini新增"技能"功能,支持保存并复用常用AI提示词
OpenAI推出药物研发专属AI模型GPT-Rosalind
NanoClaw携手Vercel,为AI智能体敏感操作打造一键审批机制
SaySo:专为重建新闻信任而生的短视频应用
Loop完成9500万美元C轮融资,用AI预测并化解供应链风险
使用MacBook Neo一个月后,我发现了它的性能极限
服务器机房的门锁形同虚设,安全认证险些露馅
Isabelle/HOL:驱动Nitro隔离引擎背后的形式化证明工具
鹏鼎控股泰国建厂:全球PCB龙头如何用42.97亿元押注AI服务器
Agent赋能保险理赔:从“人工苦海”到“智能闭环”
京公网安备 11010802021500号 京网文(2025) 0096-033号 京字第20868号
