Les tables arc-en-ciel sont-elles un outil viable pour la fissuration des hachages NTLMV2?
Fond
Je ne suis pas clair sur la différence entre NTLM HASHES et le protocole NTLM , quelle que soit la version.
Ma compréhension provisoire est que là-bas est une telle chose comme un "hachage NTLMV2", et que ces hashest, non salutées, seraient des cibles viables pour Attaques de calcul utilisant tables arc-en-ciel .
Cela étant, j'ai été surpris de constater qu'une recherche sur le Web des "tables arc-en-ciel NTLMV2" n'apporte pas de tables arc-en-ciel publiées pour NTLMV2. Le projet de table arc-en-ciel distribué a créé des tables arc-en-ciel pour NTLM mais non, autant que je puisse voir , pour NTLMV2. Il n'apparaît ni sa communauté montrent beaucoup d'intérêt dans la génération de tables arc-en-ciel NTLMV2. Peut-être que ceci est parce que NTLMV2 Les tables arc-en-ciel sont plus coûteuses à calculer et personne qui a investi dans la génération de ceux-ci n'a jusqu'à présent disposé à la publier?
Des questions
Existe-t-il une telle chose qu'une "hachage NTLMV2", et dans l'affirmative, ces objectifs viables pour les attaques de pré-calcul à l'aide de tables arc-en-ciel? Sinon, c'est que c'est que parce qu'il n'y a pas de "hachage NTLMV2", ou parce que les tables arc-en-ciel ne sont pas des attaques viables contre eux?
Lorsque vous envisagez le risque applicable aux attaques de force brute contre les mots de passe utilisateur dans un environnement Windows, il convient de déterminer la nature du compromis qui permettra à un attaquant de capturer un hachage.
Pour une attaque qui repose sur une capture de réseau de hashes lors de l'authentification de l'utilisateur, les tables d'arc-en-ciel ne seront pas efficaces - le protocole NTLMV2 fournit les calculs de hachage supplémentaires qui introduisent efficacement un sel (comme décrit dans la réponse précédente).
Toutefois, si un attaquant peut extraire avec succès les hachages de mot de passe de la base de données SAM, ce n'est pas vrai. Les "NT hachages" stockés n'ont pas eu d'opérations de hachage/salage supplémentaires appliquées.
La citation suivante est à partir de cet article Article Microsoft :
Le hachage NT du mot de passe est calculé en utilisant un algorithme de hachage MD4 non salé. MD4 est une fonction cryptographique à sens unique qui produit une représentation mathématique d'un mot de passe. Cette fonction de hachage est conçue pour produire toujours le même résultat de la même entrée de mot de passe et de minimiser les collisions où deux mots de passe différents peuvent produire le même résultat. Ce hachage a toujours la même longueur et ne peut pas être directement déchiffré pour révéler le mot de passe en plainte. Étant donné que le NT HASH ne change que lorsque le mot de passe change, un hachage NT est valide pour l'authentification jusqu'à ce que le mot de passe d'un utilisateur soit modifié.
NOTE Pour protéger contre les attaques de force brute sur les systèmes NT ou les systèmes en ligne, les utilisateurs qui s'authentifient avec des mots de passe doivent définir des mots de passe forts ou des phrase phraséphrases qui incluent des caractères à partir de plusieurs ensembles et sont aussi longs que l'utilisateur peut souviens-toi facilement.
NTLMV1 ou NTLMV2 est un protocole d'authentification Windows Challenge-Response utilisé dans l'authentification des utilisateurs dans des connexions interactives et non interactives. Les logons interactifs et les connexions non interactives sont expliqués ici
https://msdn.microsoft.com/en-us/library/ggg04699.aspx et https://msdn.microsoft.com/en-us/library/windows/desktop /AA378749(V=VS.85).aspx
Les protocoles d'authentification NTLMV1 et NTLMV2 ont des vulnérabilités telles que les attaques de Pass-the-Hash, de réflexion et de relais, mais sont immunisées contre les attaques de tables arc-en-ciel.
NT HASH est appelé la fonction à sens unique NT (NTOWF) dans la documentation MSDN sur NTLMV1 et NTLMV2 et utilise l'algorithme de hachage MD4 ou MD5 pour obtenir le hachage du mot de passe d'un utilisateur. NTOWF utilise des algorithmes de hachage MD4 ou MD5 pour calculer le hachage du mot de passe d'un utilisateur. Les hachages NT de tous les utilisateurs d'un domaine Windows sont stockés dans le fichier NTDS.DIT sur les contrôleurs de domaine. Bien que le NT hachage de mot de passe de l'utilisateur puisse également être récupéré à partir du gestionnaire de comptes de sécurité (SAM) et des ruches de registre de sécurité de Systèmes de Windows.
NTLM est souvent utilisé de manière interchangeable pour renvoyer le protocole NTLM Challenge-Response et le NTOWF, qui est la cause première de cette confusion.
Le manque de salage dans la conservation des utilisateurs Mot de passe NTOWF sur les systèmes Windows ou les contrôleurs de domaine le rend vulnérable aux attaques de tables arc-en-ciel.
Voici comment la chaîne 'Hashcat' ressemble à NTOWF et lorsqu'elle est utilisée dans NTLMV1 et NTLMV2. Je l'ai emprunté à partir de l'exemple de page Web de hachage de hashcat.
NTOWF B4B9B02E6F09A9BD760F388B67351E2B => Cela reste statique et sera stocké en format identique dans le contrôleur SAM ou de domaine jusqu'à ce que le mot de passe soit modifié.
NTLMv2 admin :: N46iSNekpT: 08ca45b7d7ea58ee: 88dcbe4446168966a153a0064958dac6: 5c7830315c7830310000000000000b45c67103d07d7b95acd12ffa11230e0000000052920b85f78d013c31cdb3b92f5d765c783030 => Cette réponse d'authentification changera même si le mot de passe est " hashcat " comme le défi utilisé pour calculer cette réponse chaque fois que des changements du protocole Défi-réponse est négocié.
NTLMv1 U4-netntlm :: KNS: 338d08f8e26de93300000000000000000000000000000000: 9526fb8c23a90751cdd619b6cea564742e1e4bf33006ba41: cb8086049ec4736c => Cette réponse d'authentification changeront même si le mot de passe est " hashcat " comme les défis utilisés pour calculer cette réponse chaque fois que des changements du protocole Défi-réponse est négocié.
Wikipedia a une bonne révision sur la manière dont NTLMV1 et NTLMV2 authentifient les utilisateurs en utilisant leurs mots de passe (AKA NTOWF) dans "NT LAN Manager".
Au cas où vous seriez curieux, pourquoi NTLMV1 et NTLMV2, le client authentifie le client authentifie le serveur et non vice-versa, tandis que l'on authentifie ultérieurement le client et le serveur les uns aux autres.
Même si les hachages NTLMV2 n'ont pas de véritable sel, il est toujours le cas que le mot de passe seul n'est pas la seule chose à être hachée. De votre lien wiki:
LMV2 et NTV2 HASH HASH Le client et le défi du serveur avec le HASH NT du mot de passe de l'utilisateur et d'autres informations d'identification. La formule exacte est de commencer avec le hachage NT, qui est stocké dans le SAM ou la publicité, et continuez à hacher, en utilisant HMAC-MD5, le nom d'utilisateur et le nom de domaine.
Dans ce cas, le nom d'utilisateur et le nom de domaine agissent efficacement comme sel unique.
En tant que tel, les hachages salés qui sont uniques ne sont pas vulnérables à l'attaque via des tables arc-en-ciel.