Les PC Windows connectés à votre réseau local pourraient être vulnérables. Devriez-vous sécuriser votre utilisation de LLMNR ou vous passer entièrement de la fonctionnalité ?
Windows Active Directory est un service créé par Microsoft qui est encore utilisé aujourd'hui dans de nombreuses organisations à travers le monde. Il connecte et stocke ensemble des informations sur plusieurs appareils et services sur le même réseau. Mais si l'Active Directory d'une entreprise n'est pas configuré correctement et en toute sécurité, cela pourrait entraîner une série de vulnérabilités et d'attaques.
L'une des attaques Active Directory les plus populaires est l'attaque d'empoisonnement LLMNR. En cas de succès, une attaque d'empoisonnement LLMNR peut donner à un administrateur pirate un accès et des privilèges au service Active Directory.
Lisez la suite pour découvrir comment fonctionne l'attaque d'empoisonnement LLMNR et comment l'empêcher de vous arriver.
Qu'est-ce que LLMNR?
LLMNR signifie Link-Local Multicast Name Resolution. Il s'agit d'un service ou d'un protocole de résolution de noms utilisé sous Windows pour résoudre l'adresse IP d'un hôte sur le même réseau local lorsque le serveur DNS n'est pas disponible.
LLMNR fonctionne en envoyant une requête à tous les périphériques d'un réseau demandant un nom d'hôte spécifique. Pour ce faire, il utilise un paquet de demande de résolution de nom (NRR) qu'il diffuse à tous les appareils de ce réseau. S'il y a un appareil avec ce nom d'hôte, il répondra avec un paquet de réponse de résolution de nom (NRP) contenant son adresse IP et établira une connexion avec l'appareil demandeur.
Malheureusement, LLMNR est loin d'être un mode sécurisé de résolution de nom d'hôte. Sa principale faiblesse est qu'il utilise son nom d'utilisateur à côté du mot de passe correspondant lors de la communication.
Qu'est-ce que l'empoisonnement LLMNR?
LLMNR Poisoning est un type d'attaque de type "man-in-the-middle" qui exploite le protocole LLMNR (Link-Local Multicast Name Resolution) dans les systèmes Windows. Dans LLMNR Poisoning, un attaquant écoute et attend pour intercepter une demande de la cible. En cas de succès, cette personne peut alors envoyer une réponse LLMNR malveillante à un ordinateur cible, le piégeant dans leur envoyer des informations sensibles (hachage du nom d'utilisateur et du mot de passe) au lieu du réseau prévu Ressource. Cette attaque peut être utilisée pour voler des informations d'identification, effectuer une reconnaissance du réseau ou lancer d'autres attaques sur le système ou le réseau cible.
Comment fonctionne l'empoisonnement LLMNR?
Dans la plupart des cas, LLMNR est réalisé à l'aide d'un outil appelé Responder. Il s'agit d'un script open source populaire généralement écrit en python et utilisé pour l'empoisonnement LLMNR, NBT-NS et MDNS. Il configure plusieurs serveurs comme SMB, LDAP, Auth, WDAP, etc. Lorsqu'il est exécuté sur un réseau, le script Responder écoute les requêtes LLMNR effectuées par d'autres appareils sur ce réseau et effectue des attaques de l'homme du milieu sur eux. L'outil peut être utilisé pour capturer les identifiants d'authentification, accéder aux systèmes et effectuer d'autres activités malveillantes.
Lorsqu'un attaquant exécute le script de répondeur, le script écoute silencieusement les événements et les requêtes LLMNR. Quand un se produit, il leur envoie des réponses empoisonnées. Si ces attaques d'usurpation réussissent, le répondeur affiche le nom d'utilisateur et le hachage du mot de passe de la cible.
L'attaquant peut alors essayer de casser le hachage du mot de passe à l'aide de divers outils de cassage de mot de passe. Le hachage du mot de passe est généralement un hachage NTLMv1. Si le mot de passe de la cible est faible, il serait brutalement forcé et fissuré en peu de temps. Et lorsque cela se produit, l'attaquant pourrait se connecter au compte de l'utilisateur, usurper l'identité du victime, installer des logiciels malveillants ou effectuer d'autres activités telles que la reconnaissance du réseau et les données exfiltration.
Passez les attaques de hachage
La chose effrayante à propos de cette attaque est que parfois le hachage du mot de passe n'a pas besoin d'être déchiffré. Le hachage lui-même peut être utilisé pour passer l'attaque par hachage. Une attaque par hachage est une attaque où le cybercriminel utilise le hachage du mot de passe non déchiffré pour accéder au compte de l'utilisateur et s'authentifier.
Dans un processus d'authentification normal, vous entrez votre mot de passe en texte clair. Le mot de passe est ensuite haché avec un algorithme cryptographique (tel que MD5 ou SHA1) et comparé à la version hachée stockée dans la base de données du système. Si les hachages correspondent, vous êtes authentifié. Mais, lors d'une attaque par hachage, l'attaquant intercepte le hachage du mot de passe lors de l'authentification et le réutilise pour s'authentifier sans connaître le mot de passe en clair.
Comment prévenir l'empoisonnement LLMNR?
LLMNR L'empoisonnement peut être une cyberattaque populaire, cela signifie également qu'il existe des mesures testées et fiables pour l'atténuer et vous protéger, vous et vos actifs. Certaines de ces mesures incluent l'utilisation de pare-feu, l'authentification multifacteur, IPSec, des mots de passe forts et la désactivation complète de LLMNR.
1. Désactiver LLMNR
La meilleure façon d'éviter une attaque d'empoisonnement LLMNR est de désactiver le protocole LLMNR sur votre réseau. Si vous n'utilisez pas le service, il n'est pas nécessaire d'avoir le risque de sécurité supplémentaire.
Si vous avez besoin d'une telle fonctionnalité, l'alternative la meilleure et la plus sécurisée est le protocole DNS (Domain Name System).
2. Exiger le contrôle d'accès au réseau
Le contrôle d'accès au réseau empêche les attaques d'empoisonnement LLMNR en appliquant des politiques de sécurité et des mesures de contrôle d'accès solides sur tous les périphériques réseau. Il peut détecter et empêcher les appareils non autorisés d'accéder au réseau et fournir une surveillance et des alertes en temps réel
Le contrôle d'accès au réseau peut également empêcher les attaques d'empoisonnement LLMNR en application de la segmentation du réseau, qui limite la surface d'attaque du réseau et restreint l'accès non autorisé aux données sensibles ou aux systèmes critiques.
3. Mettre en œuvre la segmentation du réseau
Vous pouvez limiter la portée des attaques d'empoisonnement LLMNR en diviser votre réseau en sous-réseaux plus petits. Cela peut être fait grâce à l'utilisation de VLAN, de pare-feu et d'autres mesures de sécurité réseau.
4. Utilisez des mots de passe forts
En cas d'attaque par empoisonnement LLMNR, il est conseillé d'utiliser des mots de passe forts qui ne peuvent pas être facilement déchiffrés. Les mots de passe faibles, tels que ceux basés sur votre nom ou une séquence de chiffres, peuvent être facilement devinés ou existent déjà dans un tableau de dictionnaire ou une liste de mots de passe.
Maintenir une posture de sécurité solide
Le maintien d'une bonne posture de sécurité est un aspect essentiel de la protection de vos systèmes et de vos données contre les cybermenaces telles que l'empoisonnement LLMNR. Cela nécessite une combinaison de mesures proactives, comme la mise en place de mots de passe forts, la mise à jour régulière des logiciels et des systèmes et la formation des employés aux meilleures pratiques de sécurité.
En évaluant et en améliorant en permanence les mesures de sécurité, votre organisation peut garder une longueur d'avance sur les violations et les menaces et protéger vos actifs contre les attaques.
