NBT-NS-Poisoning
Was ist NBT-NS-Poisoning?
NBT-NS-PoisoningAdversary-in-the-Middle-Angriff, der den legacy NetBIOS-Name-Service-Verkehr auf UDP/137 missbraucht, um Namensantworten zu faelschen und NTLM-Authentifizierungen abzufangen.
NetBIOS Name Service (NBT-NS) ist ein 30 Jahre altes Windows-Namensaufloesungsprotokoll, das per UDP/137 broadcastet, wenn auch LLMNR scheitert. Wie LLMNR-Poisoning erlaubt NBT-NS-Poisoning jedem Host im selben Segment, mit der eigenen IP zu antworten, und leitet den SMB- oder HTTP-Client des Opfers zur Angreifer-Infrastruktur, wo NTLMv2-Credentials abgegriffen werden. NBT-NS-Broadcasts nutzen 16 Zeichen lange Namen mit Padding und ein Query-Type-Byte, was Responder transparent handhabt. Das Deaktivieren von NetBIOS ueber TCP/IP an jedem Interface (DHCP-Option 001 oder Interface-Einstellungen) entfernt diesen Fallback vollstaendig. Da einige Altanwendungen und alte Windows-Clients darauf bauen, ist eine Inventur und Migration vor der Deaktivierung Pflicht.
● Beispiele
- 01
Erfassen des NTLMv2-Hashes eines Domain-Admins, der einen Servernamen vertippt, waehrend NetBIOS noch aktiv ist.
- 02
Spoofing des Namens WPAD ueber NBT-NS zur Injektion einer schadhaften Proxy-Konfiguration auf Legacy-Hosts.
● Häufige Fragen
Was ist NBT-NS-Poisoning?
Adversary-in-the-Middle-Angriff, der den legacy NetBIOS-Name-Service-Verkehr auf UDP/137 missbraucht, um Namensantworten zu faelschen und NTLM-Authentifizierungen abzufangen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet NBT-NS-Poisoning?
Adversary-in-the-Middle-Angriff, der den legacy NetBIOS-Name-Service-Verkehr auf UDP/137 missbraucht, um Namensantworten zu faelschen und NTLM-Authentifizierungen abzufangen.
Wie schützt man sich gegen NBT-NS-Poisoning?
Schutzmaßnahmen gegen NBT-NS-Poisoning kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für NBT-NS-Poisoning?
Übliche alternative Bezeichnungen: NBNS-Poisoning, NetBIOS-Name-Service-Spoofing.