أعلنت وحدة الاستخبارات السيبرانية التابعة لغوغل، Mandiant، عن إطلاق مجموعة شاملة من جداول Rainbow Tables الخاصة ببروتوكول Net-NTLMv1، في خطوة تهدف إلى تسريع التخلص من هذا البروتوكول القديم الذي ما زال مستخدمًا في بعض البيئات المؤسسية. ورغم أن مايكروسوفت كانت قد أعلنت سابقًا عن خططها لإيقاف بروتوكول NTLM لصالح بروتوكول Kerberos الأكثر أمانًا، إلا أن غوغل أكدت استمرار رصد استخدام Net-NTLMv1 في أنظمة نشطة، مما يترك المؤسسات عرضة لسرقة بيانات الاعتماد بشكل سهل ومباشر.
خلفيات تقنية حول Net-NTLMv1
يُعد بروتوكول NTLM أحد أقدم بروتوكولات المصادقة التي استخدمتها أنظمة ويندوز، وقد تعرض على مدار السنوات لانتقادات واسعة بسبب ثغراته الأمنية. الإصدار Net-NTLMv1 على وجه الخصوص يُعتبر ضعيفًا للغاية أمام هجمات كسر المفاتيح، حيث يمكن للمهاجمين استغلاله للحصول على بيانات اعتماد المستخدمين عبر اعتراض الاتصالات أو إعادة استخدامها في هجمات انتحال الهوية.
ورغم وجود بروتوكولات أكثر أمانًا مثل Kerberos، إلا أن بعض المؤسسات لا تزال تعتمد على NTLM لأسباب تتعلق بالتوافق أو البنية التحتية القديمة، وهو ما يجعلها أهدافًا سهلة للهجمات السيبرانية.
أهمية جداول Rainbow الجديدة
أوضحت غوغل أن أدوات استغلال هذا البروتوكول كانت موجودة منذ سنوات، لكنها غالبًا ما كانت تتطلب رفع بيانات حساسة إلى خدمات خارجية أو استخدام أجهزة باهظة الثمن لكسر المفاتيح عبر القوة الغاشمة. أما الآن، فإن إطلاق جداول Rainbow الجديدة يتيح للباحثين والمدافعين عن الأنظمة استعادة المفاتيح في أقل من 12 ساعة باستخدام أجهزة استهلاكية لا تتجاوز قيمتها 600 دولار أمريكي.
هذا التطور يعني أن المؤسسات لم تعد تستطيع تجاهل خطورة استمرار استخدام Net-NTLMv1، إذ أصبح من السهل نسبيًا على المهاجمين استغلاله، وفي المقابل أصبح لدى المدافعين أدوات عملية للكشف عن مواطن الضعف وإجبار المؤسسات على الانتقال إلى بروتوكولات أكثر أمانًا.
دعوة إلى التحول نحو Kerberos
تؤكد هذه الخطوة من غوغل على ضرورة الإسراع في تبني بروتوكول Kerberos الذي يوفر آليات مصادقة أكثر أمانًا ومرونة، ويقلل من فرص سرقة بيانات الاعتماد. كما أنها بمثابة رسالة واضحة للمؤسسات التي لا تزال تعتمد على بروتوكولات قديمة بأن الوقت قد حان لتحديث بنيتها التحتية الأمنية، قبل أن تصبح عرضة لهجمات واسعة النطاق.
