Attaques et défenses d’un Active Directory NBT-NS/LLMNR
Si un client Windows ne peut pas résoudre un nom d’hôte à l’aide de DNS, il utilisera le protocole Link-Local Multicast Name Resolution (LLMNR) pour demander aux ordinateurs voisins. LLMNR peut être utilisé pour résoudre les adresses IPv4 et IPv6.
Si cela échoue, le service de noms NetBios (NBT-NS) sera utilisé. NBT-NS est un protocole similaire à LLMNR qui sert le même objectif. La principale différence entre les deux est que NBT-NS fonctionne uniquement sur IPv4.
Vous devez donc désactiver les deux car si LLMNR est désactivé, il tentera automatiquement d’utiliser NBT-NS à la place.
Attaque :
En écoutant les diffusions LLMNR et NetBIOS, il est possible de se faire passer pour la machine (usurpation) avec laquelle le client tente par erreur de s’authentifier. Après avoir accepté la connexion, il est possible d’utiliser un outil comme Responder.py ou Metasploit pour transmettre les requêtes à un service malveillant (comme SMB TCP : 137) qui effectue le processus d’authentification. Pendant le processus d’authentification, le client enverra au serveur non autorisé un hachage NTLMv2 pour l’utilisateur qui essaie de s’authentifier, ce hachage est capturé sur le disque et peut être craqué hors ligne avec un outil comme Hashcat ou John the Ripper (TJR) ou utilisé dans une passe -l’attaque de hachage.
LLMNR et NBT-NS sont activés par défaut dans Windows et, sachant que cette attaque est assez faible, vous avez de bonnes chances de pouvoir collecter des informations d’identification sur un réseau interne
Atténuation :
Dans l’environnement de domaine, les diffusions LLMNR peuvent être désactivées sur les ordinateurs et les serveurs à l’aide de la stratégie de groupe. Pour le faire:
- Ouvrir le gpmc.msc, créez un nouveau GPO ou modifier-en un existant qui s’applique à tous les postes de travail et serveurs ;
- Aller dans Configuration ordinateur -> Modèles d’administration -> Réseau -> Client DNS
- Activer « Désactiver la stratégie de résolution de noms multidiffusion » en modifiant sa valeur sur Enabled ;
- Attendre que les paramètres GPO sur les clients soient mis à jour ou mettre-les à jour manuellement à l’aide de la commande : gpupdate /force
NBT–NS
Aucune option GPO distincte ne permet de désactiver NetBIOS sur TCP/IP pour tous les adaptateurs réseau dans l’éditeur de stratégie de groupe. utiliser le script de connexion PowerShell suivant pour désactiver complètement NetBIOS pour tous adaptateurs réseau:
$regkey = “HKLM:SYSTEM\CurrentControlSet\services\NetBT\Parameters\Interfaces”
Get-ChildItem $regkey |foreach { Set-ItemProperty -Path “$regkey\$($_.pschildname)” -Name NetbiosOptions -Value 2 -Verbose}
Enregistrer ce code dans le fichier DisableNBTNS.ps1 , copier-le dans le répertoire GPO et exécuter-le sur les clients via Configuration ordinateur -> Politiques -> Paramètres Windows -> Scripts -> Démarrage-> Scripts PowerShell.