Empoisonnement LLMNR

En tant que professionnel de la cybersécurité, j'ai été confronté à diverses attaques qui menacent la sécurité des réseaux. L'empoisonnement par LLMNR est l'une de ces menaces, qui représente un grand danger si elle n'est pas traitée. Dans ce blog, je décrirai exactement ce qu'est l'empoisonnement par LLMNR et ses dangers, ainsi que les moyens de l'éviter et de le combattre.

Qu'est-ce que l'empoisonnement par LLMNR ?

LLMNR signifie Link-Local Multicast Name Resolution et est utilisé par Windows pour résoudre les noms des ordinateurs voisins sans utiliser de serveur DNS (Domain Name System). LLMNR fonctionne en envoyant des requêtes multicast sur les réseaux locaux pour demander s'il existe des ordinateurs spécifiques portant certains noms et si l'un d'entre eux a répondu avec son adresse IP lorsqu'il a été interrogé par LLMNR.

L'empoisonnement LLMNR est une attaque de l'homme du milieu (MITM) qui exploite ce protocole. Un attaquant envoie une fausse réponse LLMNR en prétendant qu'elle provient de l'ordinateur avec lequel le nom a été demandé ; si elle est acceptée par son destinataire, elle peut alors être dirigée vers un site web malveillant ou une page de connexion où des données sensibles peuvent être volées par son auteur.

Comment fonctionne l'empoisonnement LLMNR

L'empoisonnement LLMNR consiste à intercepter les requêtes LLMNR sur un réseau local et à y répondre par de fausses réponses, forçant ainsi les ordinateurs qui demandent des informations LLMNR à communiquer directement avec l'attaquant au lieu des cibles prévues. Une fois connectés, les attaquants peuvent s'emparer de données sensibles ou mener d'autres attaques.

Un pirate cherchant à collecter les identifiants de connexion d'un site web peut créer un faux site web et attendre que les utilisateurs y saisissent leurs identifiants - avant d'utiliser ces identifiants pour entrer sur le site et voler des informations ou mener d'autres attaques contre le site.

Pourquoi l'empoisonnement par LLMNR constitue-t-il une menace pour la sécurité des réseaux ?

L'empoisonnement LLMNR constitue une menace sérieuse pour la sécurité des réseaux, car il est relativement simple et facile à mettre en œuvre, ce qui permet de voler des informations ou de lancer d'autres attaques. En outre, les requêtes LLMNR sont automatiquement envoyées et de nombreux ordinateurs du réseau peuvent répondre en renvoyant des réponses qui les contiennent.

L'empoisonnement par LLMNR peut être particulièrement dévastateur dans les environnements d'infrastructure, permettant aux attaquants d'entrer dans des systèmes clés et d'obtenir des informations sensibles.

Stratégies d'atténuation de l'empoisonnement par LLMNR

Plusieurs stratégies d'atténuation peuvent être utilisées pour prévenir les attaques par empoisonnement LLMNR :

Désactiver LLMNR dans les environnements Windows : Désactiver la résolution des noms de multidiffusion pour désactiver LLMNR via la stratégie de groupe. Elle se trouve sous Configuration de l’ordinateur > Modèles d’administration > Réseau > Client DNS. Réglez « Désactiver la résolution des noms de multidiffusion » sur « Activé » pour désactiver les diffusions de LLMNR à partir de l’éditeur de stratégie de groupe.
Utiliser DNS au lieu de LLMNR : Un moyen efficace de réduire les attaques par empoisonnement LLMNR consiste à utiliser DNS au lieu de LLMNR. Le DNS est plus sûr et moins sensible aux attaques MITM ; en changeant, toutes les demandes de résolution de noms peuvent être acheminées par des serveurs DNS sûrs, ce qui réduit le risque d’attaques d’empoisonnement par LLMNR.
Utiliser la segmentation du réseau : La segmentation du réseau peut également contribuer à prévenir les attaques par empoisonnement LLMNR en isolant les systèmes critiques et en limitant l’impact de toute attaque par empoisonnement LLMNR. Si un attaquant parvient à mener une attaque par empoisonnement LLMNR dans un segment, cela n’aura pas d’impact négatif durable sur les autres segments de votre réseau.

Comment prévenir les attaques par empoisonnement LLMNR

Outre les stratégies d'atténuation, vous pouvez prendre plusieurs mesures pour prévenir les attaques par empoisonnement LLMNR :

Utiliser HTTPS au lieu de HTTP : le passage à HTTPS au lieu de HTTP peut aider à protéger contre les attaques d’empoisonnement LLMNR en chiffrant toutes les informations échangées entre le client et le serveur – ce qui rend plus difficile pour les attaquants de capturer des données sensibles et d’intercepter les canaux de communication.
Utiliser des mots de passe forts : Des mots de passe forts peuvent aider à se défendre contre les attaques par empoisonnement LLMNR en rendant plus difficile pour les attaquants de deviner ou de craquer les mots de passe. Pour une efficacité optimale, les mots de passe forts doivent contenir au moins 12 caractères composés de lettres, de chiffres et de symboles.
Maintenir les logiciels à jour : la maintenance de tous les logiciels peut également contribuer à la protection contre les attaques par empoisonnement LLMNR en corrigeant toutes les vulnérabilités connues. Les attaquants exploitent souvent ces failles dans les logiciels obsolètes pour mener des attaques contre les victimes.

Outils de détection et de prévention des attaques par empoisonnement LLMNR

Il existe plusieurs outils permettant de détecter et de prévenir les attaques par empoisonnement LLMNR :

Responder : Responder est un outil exceptionnel qui peut à la fois perpétrer des attaques d’empoisonnement par LLMNR et les détecter et les prévenir. Responder fonctionne en interceptant les requêtes LLMNR et en offrant des réponses avec de fausses réponses ; mais il peut être configuré pour détecter et arrêter complètement les attaques d’empoisonnement LLMNR.

Wireshark : Wireshark est un analyseur de protocole réseau conçu pour capturer et examiner le trafic réseau. En outre, il peut détecter les attaques par empoisonnement LLMNR en analysant les requêtes et les réponses LLMNR.

Pretender : Pretender est un outil développé par RedTeam Pentesting pour obtenir des positions machine-in-the-middle via des attaques de résolution de noms locaux usurpés et de prise de contrôle de DNS DHCPv6. Il cible principalement les hôtes Windows, car il est destiné à être utilisé pour des attaques de relais, mais il peut être déployé sur Linux, Windows et toutes les autres plates-formes prises en charge par Go. Il est possible de répondre aux requêtes de résolution de noms par des adresses IP arbitraires dans les cas où l’outil de relais fonctionne sur un hôte différent de celui du prétendant. Il est conçu pour fonctionner avec des outils tels que ntlmrelayx.py et krbrelayx d’Impacket qui gèrent les connexions entrantes pour les attaques de relayage ou le hash dumping.

Inveigh : Inveigh est un outil .NET multiplateforme de machine-in-the-middle IPv4/IPv6 pour les testeurs de pénétration. Ce repo contient la version C# principale ainsi que la version PowerShell héritée.

Protéger votre réseau contre l'empoisonnement par LLMNR

L'empoisonnement par LLMNR constitue une menace sérieuse pour la sécurité du réseau, d'où l'importance de prendre des mesures pour s'en défendre. En employant des stratégies d'atténuation et en suivant les meilleures pratiques, vous pouvez prévenir de telles attaques sur votre réseau et assurer sa protection continue.

Si vous avez besoin d'aide pour sécuriser votre réseau, n'hésitez pas à nous contacter. Nos spécialistes en cybersécurité peuvent travailler avec vous pour développer une stratégie de sécurité efficace et la protéger contre l'empoisonnement au LLMNR ou d'autres cyberattaques.

Démonstration de l'empoisonnement par LLMNR

Un exemple pratique démontrant cette attaque, en utilisant Kali Linux et Responder pour capturer les informations d'identification d'un utilisateur sur le réseau lors d'un test interne.

Pour capturer le trafic LLMNR de notre réseau, nous utiliserons Responder. Responder est un empoisonneur LLMNR, NBT-NS et MDNS. Lancez Responder en exécutant la commande :

2. Après un certain temps, nous pouvons observer que le hachage NTLMv2 de l’utilisateur AL.PACINO a été capturé par empoisonnement LLMNR.

Cela peut être dû au fait que l'utilisateur a essayé d'accéder à un partage SMB (ici, "share.local") qui n'est pas disponible sur le réseau.

3. Ce hachage NTLMv2 capturé peut être craqué à l’aide de John ou de hashcat pour obtenir le mot de passe en clair ou relayé. Un relais reçoit une authentification valide et la transmet à d’autres hôtes, puis tente de s’authentifier auprès d’eux à l’aide des informations d’identification obtenues.

Pour relayer l'authentification aux hôtes, nous pouvons utiliser le script python ntlmrelayx, qui fait partie de la boîte à outils impacket, et le relayer à tous les hôtes du réseau, qui est sauvegardé dans un fichier texte "host.txt".

4.Nous pouvons observer une authentification réussie avec les informations d’identification capturées de l’utilisateur AL.PACINO relayées à l’hôte 10.0.2.5, vidant ainsi les hachages SAM de l’hôte.

Conclusion

L'empoisonnement par LLMNR peut constituer une menace existentielle pour la sécurité du réseau, difficile à détecter et à éviter. En désactivant LLMNR et en passant au DNS à la place, ainsi qu'en segmentant votre réseau, le risque d'attaques par empoisonnement LLMNR est considérablement réduit. Les outils Responder, Wireshark, Pretender et Inveigh permettent aux utilisateurs de détecter et de prévenir les attaques d'empoisonnement par LLMNR avant qu'elles ne causent des perturbations ou des dommages importants aux réseaux.

La prévention de l'empoisonnement par LLMNR devrait être une priorité absolue pour toute organisation soucieuse de la sécurité de son réseau. En adhérant aux meilleures pratiques décrites ici, vous pouvez vous assurer que votre réseau reste protégé et à l'abri des attaques des empoisonneurs LLMNR.

Offensive fox est un réseau diversifié de consultants experts mettant en avant la démocratisation des tests d’intrusion afin d’assurer une sécurité pour tous. Nous vous aidons à améliorer la posture de sécurité de votre organisation, contactez-nous dès aujourd’hui pour discuter de vos besoins en matière de tests de sécurité. Notre équipe de professionnels de la sécurité peut vous aider à identifier les vulnérabilités et les faiblesses de vos systèmes et vous fournir des recommandations pour y remédier.