Os PCs com Windows conectados à sua rede local podem estar vulneráveis. Você deve proteger o uso do LLMNR ou dispensar totalmente o recurso?
O Windows Active Directory é um serviço criado pela Microsoft que ainda hoje é usado em várias organizações ao redor do mundo. Ele conecta e armazena informações sobre vários dispositivos e serviços juntos na mesma rede. Mas se o Active Directory de uma empresa não estiver configurado de forma adequada e segura, isso pode levar a uma série de vulnerabilidades e ataques.
Um dos ataques mais populares do Active Directory é o ataque LLMNR Poisoning. Se for bem-sucedido, um ataque de envenenamento LLMNR pode dar a um hacker acesso de administrador e privilégios ao serviço Active Directory.
Continue lendo para descobrir como o ataque de envenenamento LLMNR funciona e como evitar que isso aconteça com você.
O que é LLMNR?
LLMNR significa Link-Local Multicast Name Resolution. É um serviço ou protocolo de resolução de nomes usado no Windows para resolver o endereço IP de um host na mesma rede local quando o servidor DNS não está disponível.
O LLMNR funciona enviando uma consulta a todos os dispositivos em uma rede solicitando um nome de host específico. Ele faz isso usando um pacote de Solicitação de Resolução de Nome (NRR) que transmite para todos os dispositivos nessa rede. Se houver um dispositivo com esse nome de host, ele responderá com um pacote Name Resolution Response (NRP) contendo seu endereço IP e estabelecerá uma conexão com o dispositivo solicitante.
Infelizmente, o LLMNR está longe de ser um modo seguro de resolução de nomes de host. Sua principal fraqueza é que ele usa o nome de usuário junto com a senha correspondente ao se comunicar.
O que é envenenamento por LLMNR?
LLMNR Poisoning é um tipo de ataque man-in-the-middle que explora o protocolo LLMNR (Link-Local Multicast Name Resolution) em sistemas Windows. No LLMNR Poisoning, um invasor escuta e espera para interceptar uma solicitação do alvo. Se for bem-sucedido, essa pessoa pode enviar uma resposta LLMNR maliciosa a um computador de destino, enganando-o enviando informações confidenciais (hash de nome de usuário e senha) para eles, em vez da rede pretendida recurso. Esse ataque pode ser usado para roubar credenciais, realizar reconhecimento de rede ou lançar novos ataques no sistema ou rede de destino.
Como funciona o envenenamento por LLMNR?
Na maioria dos casos, o LLMNR é alcançado usando uma ferramenta chamada Responder. É um script popular de código aberto geralmente escrito em python e usado para envenenamento de LLMNR, NBT-NS e MDNS. Ele configura vários servidores como SMB, LDAP, Auth, WDAP, etc. Quando executado em uma rede, o script Responder escuta as consultas LLMNR feitas por outros dispositivos nessa rede e executa ataques man-in-the-middle neles. A ferramenta pode ser usada para capturar credenciais de autenticação, obter acesso a sistemas e realizar outras atividades maliciosas.
Quando um invasor executa o script de resposta, o script escuta silenciosamente eventos e consultas LLMNR. Quando ocorre um, envia respostas envenenadas para eles. Se esses ataques de falsificação forem bem-sucedidos, o respondente exibirá o nome de usuário e o hash de senha do alvo.
O invasor pode tentar quebrar o hash de senha usando várias ferramentas de quebra de senha. O hash de senha geralmente é um hash NTLMv1. Se a senha do alvo for fraca, ela será forçada e quebrada em pouco ou nenhum momento. E quando isso acontecer, o invasor poderá fazer login na conta do usuário, personificar o vítima, instalar malware ou realizar outras atividades, como reconhecimento de rede e dados exfiltração.
Passe os ataques de hash
O assustador desse ataque é que às vezes o hash da senha não precisa ser quebrado. O próprio hash pode ser usado em um ataque pass the hash. Um ataque pass the hash é aquele em que o cibercriminoso usa o hash de senha não quebrada para obter acesso à conta do usuário e se autenticar.
Em um processo de autenticação normal, você insere sua senha em texto simples. A senha é então criptografada com um algoritmo criptográfico (como MD5 ou SHA1) e comparada com a versão hash armazenada no banco de dados do sistema. Se os hashes corresponderem, você será autenticado. Mas, em um ataque de hash, o invasor intercepta o hash da senha durante a autenticação e o reutiliza para autenticar sem saber a senha em texto simples.
Como prevenir o envenenamento por LLMNR?
O envenenamento por LLMNR pode ser um ataque cibernético popular, isso também significa que existem medidas testadas e confiáveis para mitigá-lo e proteger você e seus ativos. Algumas dessas medidas incluem o uso de firewalls, autenticação multifator, IPSec, senhas fortes e a desativação total do LLMNR.
1. Desativar LLMNR
A melhor maneira de evitar que um ataque de envenenamento LLMNR aconteça com você é desabilitar o protocolo LLMNR em sua rede. Se você não estiver usando o serviço, não há necessidade de ter o risco de segurança adicional.
Se você precisar dessa funcionalidade, a alternativa melhor e mais segura é o protocolo Domain Name System (DNS).
2. Exigir controle de acesso à rede
O controle de acesso à rede evita ataques de envenenamento LLMNR aplicando fortes políticas de segurança e medidas de controle de acesso em todos os dispositivos de rede. Ele pode detectar e bloquear o acesso de dispositivos não autorizados à rede e fornecer monitoramento e alertas em tempo real
O controle de acesso à rede também pode impedir ataques de envenenamento LLMNR reforçando a segmentação de rede, que limita a superfície de ataque da rede e restringe o acesso não autorizado a dados confidenciais ou sistemas críticos.
3. Implementar segmentação de rede
Você pode limitar o escopo dos ataques de envenenamento LLMNR dividindo sua rede em sub-redes menores. Isso pode ser feito por meio do uso de VLANs, firewalls e outras medidas de segurança de rede.
4. Use Senhas Fortes
No caso de ocorrer um ataque de envenenamento LLMNR, é aconselhável usar senhas fortes que não possam ser quebradas facilmente. Senhas fracas, como aquelas baseadas em seu nome ou em uma sequência de números, podem ser facilmente adivinhadas ou já existem em uma tabela de dicionário ou em uma lista de senhas.
Mantenha uma forte postura de segurança
Manter uma boa postura de segurança é um aspecto crítico da proteção de seus sistemas e dados contra ameaças cibernéticas, como LLMNR Poisoning. Fazer isso requer uma combinação de medidas proativas, como implementar senhas fortes, atualizar software e sistemas regularmente e educar os funcionários sobre as melhores práticas de segurança.
Ao avaliar e melhorar continuamente as medidas de segurança, sua organização pode ficar à frente de violações e ameaças e proteger seus ativos contra ataques.
