I PC Windows connessi alla tua rete locale potrebbero essere vulnerabili. Dovresti proteggere il tuo utilizzo LLMNR o rinunciare completamente alla funzione?
Windows Active Directory è un servizio creato da Microsoft che viene utilizzato ancora oggi in numerose organizzazioni in tutto il mondo. Collega e memorizza insieme informazioni su più dispositivi e servizi sulla stessa rete. Tuttavia, se l'Active Directory di un'azienda non è configurata correttamente e in modo sicuro, potrebbe portare a una serie di vulnerabilità e attacchi.
Uno degli attacchi Active Directory più popolari è l'attacco LLMNR Poisoning. In caso di successo, un attacco di avvelenamento LLMNR può concedere a un hacker l'accesso e i privilegi di amministratore al servizio Active Directory.
Continua a leggere per scoprire come funziona l'attacco di avvelenamento LLMNR e come impedire che accada a te.
Cos'è LLMNR?
LLMNR è l'acronimo di Link-Local Multicast Name Resolution. È un servizio o protocollo di risoluzione dei nomi utilizzato su Windows per risolvere l'indirizzo IP di un host sulla stessa rete locale quando il server DNS non è disponibile.
LLMNR funziona inviando una query a tutti i dispositivi attraverso una rete che richiede un nome host specifico. Lo fa utilizzando un pacchetto NRR (Name Resolution Request) che trasmette a tutti i dispositivi su quella rete. Se esiste un dispositivo con quel nome host, risponderà con un pacchetto NRP (Name Resolution Response) contenente il suo indirizzo IP e stabilirà una connessione con il dispositivo richiedente.
Sfortunatamente, LLMNR è ben lungi dall'essere una modalità sicura di risoluzione dei nomi host. Il suo principale punto debole è che utilizza il proprio nome utente insieme alla password corrispondente durante la comunicazione.
Cos'è l'avvelenamento da LLMNR?
LLMNR Poisoning è un tipo di attacco man-in-the-middle che sfrutta il protocollo LLMNR (Link-Local Multicast Name Resolution) nei sistemi Windows. In LLMNR Poisoning, un utente malintenzionato ascolta e attende per intercettare una richiesta dal bersaglio. In caso di successo, questa persona può quindi inviare una risposta LLMNR dannosa a un computer di destinazione, ingannandolo inviando informazioni sensibili (nome utente e hash della password) a loro anziché alla rete prevista risorsa. Questo attacco può essere utilizzato per rubare credenziali, eseguire ricognizioni di rete o lanciare ulteriori attacchi al sistema o alla rete di destinazione.
Come funziona l'avvelenamento da LLMNR?
Nella maggior parte dei casi, LLMNR si ottiene utilizzando uno strumento chiamato Responder. È un popolare script open source solitamente scritto in Python e utilizzato per l'avvelenamento da LLMNR, NBT-NS e MDNS. Imposta più server come SMB, LDAP, Auth, WDAP, ecc. Quando viene eseguito su una rete, lo script del risponditore ascolta le query LLMNR effettuate da altri dispositivi su quella rete ed esegue attacchi man-in-the-middle su di essi. Lo strumento può essere utilizzato per acquisire le credenziali di autenticazione, ottenere l'accesso ai sistemi ed eseguire altre attività dannose.
Quando un utente malintenzionato esegue lo script del risponditore, lo script ascolta silenziosamente gli eventi e le query LLMNR. Quando si verifica, invia loro risposte avvelenate. Se questi attacchi di spoofing hanno successo, il risponditore visualizza il nome utente e l'hash della password del bersaglio.
L'attaccante può quindi tentare di decifrare l'hash della password utilizzando vari strumenti di decifratura della password. L'hash della password è in genere un hash NTLMv1. Se la password del bersaglio è debole, verrebbe forzata brutamente e violata in pochissimo tempo. E quando ciò accade, l'attaccante potrebbe accedere all'account dell'utente, impersonare il vittima, installare malware o eseguire altre attività come la ricognizione della rete e i dati esfiltrazione.
Passa gli attacchi hash
La cosa spaventosa di questo attacco è che a volte non è necessario violare l'hash della password. L'hash stesso può essere utilizzato in un passaggio dell'attacco hash. Un attacco hash pass è quello in cui il criminale informatico utilizza l'hash della password non craccato per ottenere l'accesso all'account dell'utente e autenticarsi.
In un normale processo di autenticazione, inserisci la tua password in testo normale. La password viene quindi sottoposta ad hashing con un algoritmo crittografico (come MD5 o SHA1) e confrontata con la versione con hash memorizzata nel database del sistema. Se gli hash corrispondono, vieni autenticato. Ma, in un attacco hash passato, l'attaccante intercetta l'hash della password durante l'autenticazione e lo riutilizza per autenticarsi senza conoscere la password in testo normale.
Come prevenire l'avvelenamento da LLMNR?
L'avvelenamento da LLMNR potrebbe essere un attacco informatico popolare, questo significa anche che esistono misure testate e affidabili per mitigarlo e proteggere te e le tue risorse. Alcune di queste misure includono l'uso di firewall, autenticazione a più fattori, IPSec, password sicure e la disabilitazione totale di LLMNR.
1. Disabilita LLMNR
Il modo migliore per evitare che ti accada un attacco di avvelenamento LLMNR è disabilitare il protocollo LLMNR sulla tua rete. Se non si utilizza il servizio, non è necessario avere il rischio aggiuntivo per la sicurezza.
Se hai bisogno di tale funzionalità, l'alternativa migliore e più sicura è il protocollo DNS (Domain Name System).
2. Richiedi il controllo dell'accesso alla rete
Il controllo dell'accesso alla rete previene gli attacchi di avvelenamento LLMNR applicando rigide politiche di sicurezza e misure di controllo dell'accesso su tutti i dispositivi di rete. Può rilevare e impedire ai dispositivi non autorizzati di accedere alla rete e fornire monitoraggio e avvisi in tempo reale
Il controllo dell'accesso alla rete può anche prevenire gli attacchi di avvelenamento LLMNR tramite rafforzare la segmentazione della rete, che limita la superficie di attacco della rete e limita l'accesso non autorizzato a dati sensibili o sistemi critici.
3. Implementare la segmentazione della rete
È possibile limitare l'ambito degli attacchi di avvelenamento LLMNR tramite dividendo la rete in sottoreti più piccole. Questo può essere fatto attraverso l'uso di VLAN, firewall e altre misure di sicurezza della rete.
4. Usa password complesse
Nel caso in cui si verifichi un attacco di avvelenamento LLMNR, è consigliabile utilizzare password complesse che non possano essere facilmente violate. Le password deboli, come quelle basate sul tuo nome o su una sequenza di numeri, possono essere facilmente indovinate o esistono già in una tabella del dizionario o in un elenco di password.
Mantieni una posizione di forte sicurezza
Mantenere una buona posizione di sicurezza è un aspetto fondamentale della protezione dei sistemi e dei dati dalle minacce informatiche come LLMNR Poisoning. A tal fine è necessaria una combinazione di misure proattive, come l'implementazione di password complesse, l'aggiornamento regolare di software e sistemi e la formazione dei dipendenti sulle migliori pratiche di sicurezza.
Valutando e migliorando continuamente le misure di sicurezza, la tua organizzazione può stare al passo con violazioni e minacce e proteggere le tue risorse dagli attacchi.