Las PC con Windows conectadas a su red local podrían ser vulnerables. ¿Debe asegurar su uso de LLMNR o prescindir de la función por completo?
Windows Active Directory es un servicio creado por Microsoft que todavía se usa hoy en día en numerosas organizaciones de todo el mundo. Conecta y almacena información sobre múltiples dispositivos y servicios en la misma red juntos. Pero si el Active Directory de una empresa no está configurado de forma adecuada y segura, podría dar lugar a una serie de vulnerabilidades y ataques.
Uno de los ataques de Active Directory más populares es el ataque LLMNR Poisoning. Si tiene éxito, un ataque de envenenamiento LLMNR puede dar a un hacker acceso y privilegios de administrador al servicio de Active Directory.
Siga leyendo para descubrir cómo funciona el ataque de envenenamiento LLMNR y cómo evitar que le suceda.
¿Qué es LLMNR?
LLMNR significa Resolución de nombre de multidifusión local de enlace. Es un servicio o protocolo de resolución de nombres que se usa en Windows para resolver la dirección IP de un host en la misma red local cuando el servidor DNS no está disponible.
LLMNR funciona enviando una consulta a todos los dispositivos a través de una red solicitando un nombre de host específico. Lo hace mediante un paquete de solicitud de resolución de nombres (NRR) que transmite a todos los dispositivos de esa red. Si hay un dispositivo con ese nombre de host, responderá con un paquete de respuesta de resolución de nombre (NRP) que contiene su dirección IP y establecerá una conexión con el dispositivo solicitante.
Desafortunadamente, LLMNR está lejos de ser un modo seguro de resolución de nombres de host. Su principal debilidad es que utiliza el nombre de usuario junto con la contraseña correspondiente cuando se comunica.
¿Qué es el envenenamiento por LLMNR?
LLMNR Poisoning es un tipo de ataque man-in-the-middle que explota el protocolo LLMNR (Resolución de nombres de multidifusión local de enlace) en los sistemas Windows. En el envenenamiento LLMNR, un atacante escucha y espera para interceptar una solicitud del objetivo. Si tiene éxito, esta persona puede enviar una respuesta LLMNR maliciosa a una computadora de destino, engañándola para que enviar información confidencial (hash de nombre de usuario y contraseña) a ellos en lugar de a la red prevista recurso. Este ataque se puede utilizar para robar credenciales, realizar un reconocimiento de la red o lanzar más ataques en el sistema o la red de destino.
¿Cómo funciona el envenenamiento por LLMNR?
En la mayoría de los casos, LLMNR se logra utilizando una herramienta llamada Responder. Es un script popular de código abierto generalmente escrito en python y utilizado para el envenenamiento LLMNR, NBT-NS y MDNS. Configura múltiples servidores como SMB, LDAP, Auth, WDAP, etc. Cuando se ejecuta en una red, la secuencia de comandos de Responder escucha las consultas LLMNR realizadas por otros dispositivos en esa red y realiza ataques de intermediario en ellos. La herramienta se puede utilizar para capturar credenciales de autenticación, obtener acceso a los sistemas y realizar otras actividades maliciosas.
Cuando un atacante ejecuta el script de respuesta, el script escucha en silencio los eventos y las consultas LLMNR. Cuando ocurre uno, les envía respuestas envenenadas. Si estos ataques de suplantación de identidad tienen éxito, el respondedor muestra el hash de nombre de usuario y contraseña del objetivo.
Luego, el atacante puede intentar descifrar el hash de la contraseña utilizando varias herramientas para descifrar contraseñas. El hash de la contraseña suele ser un hash NTLMv1. Si la contraseña del objetivo es débil, sería forzada y descifrada en poco tiempo. Y cuando esto suceda, el atacante podría iniciar sesión en la cuenta del usuario, hacerse pasar por el víctima, instalar malware o realizar otras actividades como reconocimiento de red y datos exfiltración
Pase los ataques hash
Lo aterrador de este ataque es que a veces no es necesario descifrar el hash de la contraseña. El hash en sí mismo se puede usar en un pase del ataque hash. Un ataque pass the hash es aquel en el que el ciberdelincuente usa el hash de la contraseña sin descifrar para obtener acceso a la cuenta del usuario y autenticarse.
En un proceso de autenticación normal, ingresa su contraseña en texto sin formato. Luego, la contraseña se codifica con un algoritmo criptográfico (como MD5 o SHA1) y se compara con la versión codificada almacenada en la base de datos del sistema. Si los hashes coinciden, se autentica. Pero, en un ataque pass the hash, el atacante intercepta el hash de la contraseña durante la autenticación y lo reutiliza para autenticarse sin conocer la contraseña de texto sin formato.
¿Cómo prevenir el envenenamiento por LLMNR?
El envenenamiento LLMNR puede ser un ciberataque popular, esto también significa que existen medidas probadas y confiables para mitigarlo y protegerlo a usted y a sus activos. Algunas de estas medidas incluyen el uso de firewalls, autenticación multifactor, IPSec, contraseñas seguras y la desactivación total de LLMNR.
1. Deshabilitar LLMNR
La mejor manera de evitar que le suceda un ataque de envenenamiento LLMNR es deshabilitar el protocolo LLMNR en su red. Si no está utilizando el servicio, no es necesario tener el riesgo de seguridad adicional.
Si necesita dicha funcionalidad, la alternativa mejor y más segura es el protocolo del Sistema de nombres de dominio (DNS).
2. Requerir control de acceso a la red
El control de acceso a la red previene los ataques de envenenamiento LLMNR al aplicar políticas de seguridad sólidas y medidas de control de acceso en todos los dispositivos de la red. Puede detectar y bloquear dispositivos no autorizados para que no accedan a la red y brindar monitoreo y alertas en tiempo real.
El control de acceso a la red también puede prevenir los ataques de envenenamiento LLMNR al hacer cumplir la segmentación de la red, que limita la superficie de ataque de la red y restringe el acceso no autorizado a datos confidenciales o sistemas críticos.
3. Implementar la segmentación de la red
Puede limitar el alcance de los ataques de envenenamiento LLMNR dividir su red en subredes más pequeñas. Esto se puede hacer mediante el uso de VLAN, firewalls y otras medidas de seguridad de la red.
4. Utilice contraseñas seguras
En el caso de que se produzca un ataque de envenenamiento LLMNR, se recomienda utilizar contraseñas seguras que no se puedan descifrar fácilmente. Las contraseñas débiles, como las que se basan en su nombre o en una secuencia de números, se pueden adivinar fácilmente o ya existen en una tabla de diccionario o en una lista de contraseñas.
Mantenga una postura de seguridad fuerte
Mantener una buena postura de seguridad es un aspecto crítico para proteger sus sistemas y datos contra amenazas cibernéticas como el envenenamiento LLMNR. Hacerlo requiere una combinación de medidas proactivas, como implementar contraseñas seguras, actualizar regularmente el software y los sistemas, y educar a los empleados sobre las mejores prácticas de seguridad.
Al evaluar y mejorar continuamente las medidas de seguridad, su organización puede adelantarse a las infracciones y amenazas y proteger sus activos de los ataques.
