Leider beobachten wir immer wieder, dass veraltete und unsichere Protokolle wie LLMNR und NBT-NS weiterhin aktiv sind. Hintergrund ist, dass diese gravierenden Schwachstellen vielen nicht bewusst sind.
Doch der Reihe nach, was ist eigentlich Spoofing?
Spoofing beschreibt eine Methode, bei welcher sich ein Angreifer als vertrauenswürdige Person oder Gerät ausgibt, um an eine sensible Information zu gelangen. Wie beispielsweise wertvolle Password-Hashes.
Nun gut und was hat es nun mit LLMNR und NBT-NS auf sich?
Sowohl LLMNR (Local Link Multicast Name Resolution) als auch NetBIOS Naming Service dienen leider weiterhin als Fallback-Szenario für die Namensauflösung. Das bedeutet, sobald die DNS-Server keine passende Antwort liefern, begibt sich der Client via Broadcast selbst auf die Suche. Das erschreckende dabei ist, dass der Client hierbei jeder Antwort vertraut.
Folgendes Beispiel soll die Einfachheit einer Attacke verdeutlichen.
Der Laptop erhält keine passende Antwort von einem DNS-Server. Eventuell hat der Anwender sich nur vertippt. Nun fragt der Client trotzdem via Broadcast sämtliche Netzwerkteilnehmer nach einer passenden Antwort. Ein Angreifer kann sich dies nun zu nutzen machen und sich einfach als it-consulting-fs01 ausgeben und antworten.
Der Client wird nun sogar sein Password-Hash an den Angreifer senden. Der Angreifer besitzt nun zwei Möglichkeiten, er kann offline mit dem Cracking beginnen. Oder der Angreifer verwendet einfach eine Pass-The-Hash Attack und nutzt den vorhanden Password-Hash für eine Authentifizierung an weiteren Systemen. Sie können sich daher vorstellen, was passieren würde, wenn Sie keine Rollentrennung verwenden und gar als Domänen-Administrator arbeiten.
In Zeiten von einer hybriden Arbeitswelt, in denen die mobilen Laptops in nicht vertrauenswürdigen Netzwerken agieren, müssen die Protokolle daher zwingend deaktiviert werden.
Mitigation
- Deaktivieren Sie LLMNR und NBT-NS via GPO
- Aktivieren Sie die Windows Firewall
- Erzwingen Sie SMB-Signing via GPO
- Arbeiten Sie niemals mit einem Domänen-Administrator auf einem Client