Empoisonnement LLMNR.

Technique d'adversary-in-the-middle (MITRE T1557.001) qui abuse du protocole Link-Local Multicast Name Resolution sur UDP/5355 pour rediriger les victimes vers des hotes controles par l'attaquant. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.

Technique d'adversary-in-the-middle (MITRE T1557.001) qui abuse du protocole Link-Local Multicast Name Resolution sur UDP/5355 pour rediriger les victimes vers des hotes controles par l'attaquant.

LLMNR (RFC 4795) est un protocole de resolution de noms de secours de Windows utilise lorsque le DNS echoue. Les clients envoient une requete multicast UDP/5355 pour le nom non resolu, et tout hote du lien local peut repondre. Un attaquant dans le meme domaine de diffusion repond avec sa propre IP, puis incite le client SMB ou HTTP de la victime a s'authentifier, capturant le challenge-response NTLMv2 pour cassage hors ligne ou NTLM relay. L'empoisonnement LLMNR est l'un des attaques internes les plus fiables car Windows continue de l'interroger pour les fautes de frappe, les partages mal configures et les imprimantes obsoletes. La mitigation est simple : desactiver LLMNR via GPO (Turn off Multicast Name Resolution) et s'appuyer uniquement sur le DNS. Les signaux de detection incluent un trafic UDP/5355 inhabituel et des Event ID 4624 depuis des hotes non legitimes.

Les défenses contre Empoisonnement LLMNR combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : Spoofing LLMNR, T1557.001.