NTLMv1 su Windows: password di dominio recuperabili in meno di 12 ore con le rainbow tables

La recente decisione di Mandiant (acquisita da Google e incorporata a settembre 2022) di rendere pubblicamente disponibile un database completo di rainbow table per Net-NTLMv1 è un atto deliberato con cui si intende stimolare una presa di coscienza definitiva su un protocollo che, pur essendo universalmente riconosciuto come insicuro, continua a essere utilizzato in reti aziendali critiche, incluse infrastrutture sanitarie, industriali e governative.

L’obiettivo dichiarato non è “insegnare agli attaccanti qualcosa di nuovo”, bensì rendere l’insicurezza di NTLMv1 impossibile da negare, anche dinanzi agli occhi di quegli amministratori e decisori che, fino a oggi, hanno considerato il rischio come teorico, remoto o non prioritario rispetto ai costi di migrazione.

Rainbow table e NTLMv1: una combinazione letale resa finalmente accessibile

Le rainbow table non sono una novità nel panorama della crittoanalisi. Si tratta di tabelle precomputate che mettono in relazione hash e corrispondenti valori in chiaro, consentendo di risalire a una password senza dover effettuare un attacco brute force completo. La loro efficacia dipende da un fattore cruciale: la dimensione dello spazio delle chiavi.

Nel caso di NTLMv1, questo spazio è drammaticamente limitato. Il protocollo utilizza DES, un algoritmo già considerato obsoleto da decenni, e suddivide l’hash NT in componenti indipendenti, rendendo l’attacco non solo possibile ma estremamente efficiente. Non a caso, rainbow table specifiche per NTLMv1 esistono da circa vent’anni. Fino a oggi, tuttavia, il loro utilizzo pratico era spesso frenato da costi computazionali elevati o dalla necessità di infrastrutture dedicate.

Con il rilascio del dataset da parte di Mandiant, ospitato su Google Cloud, tale barriera cade definitivamente. Difensori, ricercatori e – inevitabilmente – attaccanti possono recuperare password Net-NTLMv1 in meno di 12 ore, utilizzando hardware consumer dal costo pari a circa 500 euro. In altre parole, la sicurezza di NTLMv1 non è più nemmeno economicamente sostenibile.

Net-NTLMv1: il punto debole dell’autenticazione di rete Windows

È importante chiarire che il database rilasciato da Mandiant colpisce in modo diretto Net-NTLMv1, la variante utilizzata nei meccanismi di autenticazione di rete per accedere a risorse come le condivisioni SMB. In questi scenari, l’hash non viene semplicemente confrontato, ma combinato con una challenge fornita dal server.

Net-NTLMv1 è un protocollo di challenge–response. L’idea teorica è semplice:

• Il server invia una challenge (8 byte casuali)
• Il client dimostra di conoscere la password senza inviarla, calcolando una risposta crittografica.
• Il server verifica la risposta.

Il problema è come questa risposta viene calcolata. La password dell’utente (o dell’account macchina) è trasformata in un hash NT. Tale hash rappresenta l’identità crittografica reale dell’account in Active Directory. Possedendo un hash NT, non serve più la password per l’autenticazione (pass-the-hash).

Il disastro avviene quando l’attaccante forza una challenge nota, tipicamente il valore ormai tristemente famoso 1122334455667788. Poiché Net-NTLMv1 cifra questa challenge fissa utilizzando più chiavi DES derivate direttamente dall’hash NT, ogni blocco può essere attaccato tramite known plaintext attack. La debolezza in questione rende quindi possibile ricostruire l’intero hash NT, trasformando la risposta di autenticazione nella compromissione permanente dell’identità.

Strumenti come Responder, PetitPotam e DFSCoerce rendono la fase di raccolta degli hash banale in molti ambienti reali, soprattutto dove non sono state implementate contromisure contro l’autenticazione coercitiva.

Dalla debolezza crittografica alla compromissione del dominio

Il vero pericolo di Net-NTLMv1 non risiede nel furto di una singola password utente, ma nella possibilità di colpire account altamente privilegiati, inclusi quelli dei Domain Controller. Forzando l’autenticazione di un DC e recuperandone l’hash NT completo, l’attaccante ottiene un accesso che va ben oltre il concetto di “password rubata”.

A questo punto, tecniche come DCSync consentono di replicare il comportamento di un controller di dominio legittimo e di estrarre le credenziali di qualsiasi account Active Directory. In termini operativi, Net-NTLMv1 diventa un vettore di compromissione totale, non un rischio marginale o circoscritto.

Perché NTLMv1 è ancora in uso nel 2026?

In molti settori regolamentati, come sanità e industria, esistono applicazioni legacy incompatibili con algoritmi di autenticazione più moderni. In altri casi, i sistemi sono così critici da rendere impraticabili le finestre di downtime necessarie alla migrazione.

A questo si aggiungono inerzia organizzativa, vincoli di budget e una sottovalutazione cronica del rischio. Finché l’attacco resta astratto, il problema viene rimandato. Ed è proprio qui che l’iniziativa di Mandiant colpisce nel segno: trasforma il rischio in una dimostrazione concreta, difficile da ignorare anche per il management meno sensibile ai temi di sicurezza.

NTLMv1 nasce negli anni ’80, con OS/2, e già nel 1999 le sue fondamenta crittografiche furono smontate da Bruce Schneier e Peiter C. Zatko (“Mudge“). Con Windows NT SP4, Microsoft introdusse NTLMv2, correggendo le debolezze più gravi. Eppure, la dismissione formale di NTLMv1 è stata annunciata solo di recente, segno di quanto sia complesso eliminare davvero una tecnologia radicata.

Il fatto che, nel 2026, consulenti di Mandiant continuino a trovare NTLMv1 in ambienti attivi è la dimostrazione che l’accantonamento di un protocollo solo sulla carta non basta. Servono strumenti, dati e – talvolta – una certa dose di pressione pubblica.

Difesa e responsabilità: cosa non è più accettabile

La linea difensiva raccomandata è netta: Net-NTLMv1 deve essere disabilitato immediatamente. L’impostazione “Send NTLMv2 response only” dovrebbe essere applicata tramite poicy di gruppo a livello di dominio, accompagnata da un monitoraggio attivo degli eventi di autenticazione.

L’Event ID 4624, in particolare, consente di individuare l’uso di LM o NTLMv1 come strumenti di autenticazione. Ogni occorrenza dovrebbe essere trattata come un incidente di sicurezza o, quantomeno, come un segnale dell’utilizzo di una configurazione gravemente errata.