Netcrook Logo
👤 SECPULSE
🗓️ 19 Jan 2026   🌍 North America

انكشاف المصادقة القديمة: جداول قوس قزح من مانديانت تحطم وهم أمان NTLMv1

العنوان الفرعي: مجموعة بيانات عامة جديدة تجعل كسر مصادقة عمرها عقودًا أمرًا بديهيًا، ما يجبر المؤسسات أخيرًا على مواجهة نقطة عمياء أمنية مستمرة.

لسنوات، ترددت التحذيرات من مخاطر بروتوكول المصادقة المتقادم NTLMv1 في أوساط الأمن السيبراني - ومع ذلك تمسكت به مؤسسات كثيرة، محميةً أكثر بغموض أساليب الهجوم لا بأمن حقيقي. الآن، فجّرت مانديانت ذلك الوهم: فإصدار جداول قوس قزح الشاملة لـ Net-NTLMv1 يعني أن أي مهاجم مُصمّم - أو مختبر أمني - يمكنه استعادة كلمات مرور المسؤول خلال ساعات باستخدام عتاد رخيص متاح تجاريًا. لقد انتهى عصر التجاهل المتعمد.

ناقوس الموت لـ NTLMv1

إن الإتاحة العامة لجداول قوس قزح الخاصة بـ NTLMv1 من مانديانت ليست مجرد إنجاز تقني - بل هي جرس إنذار. جداول قوس قزح، وهي مجموعات مُسبقة الحساب تعكس التجزئات التشفيرية، موجودة منذ عقود، لكن العبء الحاسوبي لتوليدها لـ Net-NTLMv1 أبقى الخطر نظريًا لدى معظم الجهات. الآن، يمكن لأي شخص تنزيل مجموعة البيانات من Google Cloud، وباستخدام GPU عادي، كسر تجزئات بمستوى صلاحيات المسؤول في أقل من نصف يوم.

العيب التقني في صميم Net-NTLMv1 هو اعتماده على تشفير قديم وهجوم نصٍّ صريح معروف. تتيح أدوات مثل Responder وPetitPotam للمهاجمين خداع الأنظمة لتسريب تجزئات المصادقة، خصوصًا عندما لا تكون Extended Session Security مفعّلة. وبمجرد التقاط التجزئة، تمكّن جداول قوس قزح المهاجمين من كشف كلمة المرور الأصلية دون عتاد باهظ أو خدمات طرف ثالث. هذا ليس خطرًا على مستوى المستخدم فقط: فباستخدام حساب جهاز وحدة تحكم المجال، يمكن للمهاجمين تنفيذ هجمات DCSync لاستخراج بيانات اعتماد كل مستخدم في الشبكة والاستيلاء على السيطرة الكاملة.

لطالما عرف مجتمع الأمن بهذه الثغرات - إذ يعود تحليلها التشفيري إلى التسعينيات، وأُثبتت عمليات كسر عملية في العقد 2010. لكن القصور الذاتي، والاعتماديات القديمة، ومشقة الترحيل أبقت NTLMv1 حيًا في عدد لا يُحصى من بيئات المؤسسات. خطوة مانديانت تُعمّم الهجوم وتجعله متاحًا للجميع، فلا تترك للمؤسسات أي أعذار.

ماذا ينبغي على المؤسسات أن تفعل؟

المسار المسؤول الوحيد إلى الأمام فوري: تعطيل NTLMv1 في كل مكان. وهذا يعني تغييرات في نهج المجموعة (Group Policy) على مستوى المجال والمستوى المحلي، مع فرض NTLMv2 حصريًا. لكن الإعداد وحده لا يكفي. فالمهاجمون الذين يملكون وصولًا إداريًا يمكنهم التراجع عن الإعدادات، لذا يجب على المؤسسات مراقبة استخدام المصادقة القديمة بقوة - وتحديدًا عبر تدقيق سجلات Event ID 4624 لرصد مؤشرات حركة NTLMv1.

لقد حوّلت جداول قوس قزح من مانديانت NTLMv1 من خطرٍ مجرد إلى تهديدٍ عاجل وقابل للإثبات. الرسالة واضحة: البروتوكولات القديمة أصبحت عبئًا لا يمكن تجاهله بعد الآن.

تأملات: لا مزيد من الاختباء خلف الإرث القديم

لقد نفدت أعذار صناعة الأمن. مع انتشار جداول قوس قزح من مانديانت، لم تعد كلفة كسر NTLMv1 وصعوبته عائقين. المؤسسات التي تفشل في التحرك ليست مهملة فحسب - بل إنها تدعو إلى كارثة. لقد حانت لحظة الحساب الأخيرة للمصادقة القديمة.

WIKICROOK

  • جدول قوس قزح: جدول قوس قزح هو قاعدة بيانات مُسبقة الحساب تطابق تجزئات كلمات المرور مع كلمات المرور الأصلية، ما يتيح للمهاجمين كسر كلمات المرور المشفرة بكفاءة أكبر.
  • NTLMv1: NTLMv1 هو بروتوكول مصادقة قديم من مايكروسوفت معرّض لهجمات كسر كلمات المرور. وهو غير آمن ويجب استبداله ببدائل حديثة.
  • Hashcat: Hashcat أداة سريعة ومفتوحة المصدر لاستعادة كلمات المرور تستخدم تسريع GPU لكسر تجزئات كلمات المرور بكفاءة لأغراض الاختبار الأمني.
  • هجوم DCSync: يتيح هجوم DCSync للمهاجمين استخراج بيانات الاعتماد من وحدات تحكم المجال عبر محاكاة طلبات تكرار شرعية، ما يشكل تهديدًا كبيرًا لأمن Active Directory.
  • Extended Session Security (ESS): تعزز Extended Session Security (ESS) بروتوكول NTLM بجعل التجزئات الملتقطة أصعب بكثير في إعادة الاستخدام أو الكسر، ما يحسن الحماية ضد هجمات إعادة الإرسال.
NTLMv1 Mandiant Rainbow Tables
SECPULSE SECPULSE
SOC Detection Lead
← Back to news