Sikkerhetshendelse? Ring nødnummer 21 62 79 79!

Hendelse?
MENY

Slik stjeler vi brukernavn og passord i nettverket ditt

Hvilken som helst angriper eller utro tjener som har tilgang til ditt nettverk kan enkelt samle inn brukernavn og tilhørende NTLM hasher kun ved å sitte å vente på nettverksforespørsler.

Du har kanskje hørt det før, og tenker at det ikke er så enkelt?
Men det er faktisk ekstremt enkelt for en angriper å tilegne seg mengder med brukernavn og tilhørende NTLM hash. Metoden vi benytter er relativt gammel men ekstremt effektiv og heter LLMNR & NBT-NS Poisoning. Metoden går ut på at vi sniffer på nettverket etter LLMNR og NBT-NS forespørsler. LLMNR og NBT-NS er tjenester som benyttes av Windows klienter og servere når de ikke får svar fra DNS. Angrepet fungerer nesten utelukkende i alle norske virksomheter vi sikkerhetstester. Vi benytter forskjellige typer verktøy for å utføre selve oppgaven, men mest kjent er responder som er en del av KALI. Metoden og selve angrepet LLMNR & NBT-NS Poisoning er godt beskrevet med mange kilder hos MITRE.

Slik utnytter vi det i praksis.
Vi starter responder og lytter etter LLMNR (UDP 5355)- og NBT-NS (UDP 137)-forespørsler. Fortløpende vil respondere svare på forespørsler og dirigere trafikken til seg selv for å motta brukernavn og NTLM hash. Vi samler HASH og cracker disse offline i vår LAB med spesialbygget utstyr. Antallet passord vi avdekker varierer noe, men ligger normalt godt over 20%. En annen metode vi benytter er å videresende brukernavn og passord til andre maskiner i nettverket. Da kan vi logge inn på systemer uten å knekke passordet. Men er avhengig av at maskinen vi sender til ikke har på skrudd SMB signing. Vi opplever i stor grad når vi jobber med penetrasjonstesting at kunder har en eller flere servere hvor dette er avskrudd. Dette er en sårbarhet basert på feilkonfigurasjon som bør bli oppdaget og håndtert gjennom sårbarhetsadministrasjon. Ved å benytte LLMNR & NBT-NS Poisoning vil vi normalt som minimum tilegne oss en rekke brukere med vanlige rettigheter, som vi kan utnytte og bruke innledende for å skaffe oss høyere rettigheter. Men relativt ofte i våre analyser avdekker vi brukere med forhøyede rettigheter som f.eks. Domain Administratror ved bruk metoden. Så det anbefales absolutt at man adresserer denne forholdvis enkle metoden og store svakhetene i de fleste Windows-nettverk.

Hvordan kan vi forhindre LLMNR & NBT-NS Poisoning.
Den enkleste og vanligste metoden for å forhindre angrepet er å skru av støtte for LLMNR og NBT-NS ved bruk av henholdsvis Group Policy og DHCP Options. Det er nødvendig å skru av begge for å forhindre angrepet, det hjelper ikke å bare skru av den ene. Begge metodene er beskrevet av Microsoft som del av Microsoft Security Baseline.

Hvordan skru av LLMNR via GPO:
Gå til: Computer Configuration -> Administrative Templates -> Network -> DNS Client

Skru på: Turn Off Multicast Name Resolution policy ved å endre verdi til «Enabled»

Hvordan skru av NBT-NS:
https://support.microsoft.com/en-us/help/313314/how-to-disable-netbios-over-tcp-ip-by-using-dhcp-server-options