Empoisonnement NBT-NS
Qu'est-ce que Empoisonnement NBT-NS ?
Empoisonnement NBT-NSAttaque d'adversary-in-the-middle qui abuse du trafic legacy NetBIOS Name Service sur UDP/137 pour falsifier les reponses de noms et collecter des authentifications NTLM.
NetBIOS Name Service (NBT-NS) est un protocole de resolution de noms Windows vieux de 30 ans qui diffuse des requetes UDP/137 lorsque LLMNR echoue aussi. Comme l'empoisonnement LLMNR, l'empoisonnement NBT-NS permet a tout hote du segment de repondre avec sa propre IP, redirigeant le client SMB ou HTTP de la victime vers l'infrastructure de l'attaquant, ou ses identifiants NTLMv2 sont captures. Les broadcasts NBT-NS utilisent des noms de 16 caracteres avec padding et un octet de type de requete, que Responder gere de maniere transparente. Desactiver NetBIOS sur TCP/IP sur chaque interface via l'option DHCP 001 ou les parametres d'interface supprime totalement ce fallback. Comme certaines applications anciennes et clients Windows obsoletes en dependent encore, il faut inventorier et migrer avant la desactivation.
● Exemples
- 01
Capturer le hash NTLMv2 d'un admin de domaine qui tape mal un nom de serveur alors que NetBIOS est encore actif.
- 02
Falsifier le nom WPAD via NBT-NS pour injecter une configuration de proxy malicieuse sur des hotes legacy.
● Questions fréquentes
Qu'est-ce que Empoisonnement NBT-NS ?
Attaque d'adversary-in-the-middle qui abuse du trafic legacy NetBIOS Name Service sur UDP/137 pour falsifier les reponses de noms et collecter des authentifications NTLM. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Empoisonnement NBT-NS ?
Attaque d'adversary-in-the-middle qui abuse du trafic legacy NetBIOS Name Service sur UDP/137 pour falsifier les reponses de noms et collecter des authentifications NTLM.
Comment fonctionne Empoisonnement NBT-NS ?
NetBIOS Name Service (NBT-NS) est un protocole de resolution de noms Windows vieux de 30 ans qui diffuse des requetes UDP/137 lorsque LLMNR echoue aussi. Comme l'empoisonnement LLMNR, l'empoisonnement NBT-NS permet a tout hote du segment de repondre avec sa propre IP, redirigeant le client SMB ou HTTP de la victime vers l'infrastructure de l'attaquant, ou ses identifiants NTLMv2 sont captures. Les broadcasts NBT-NS utilisent des noms de 16 caracteres avec padding et un octet de type de requete, que Responder gere de maniere transparente. Desactiver NetBIOS sur TCP/IP sur chaque interface via l'option DHCP 001 ou les parametres d'interface supprime totalement ce fallback. Comme certaines applications anciennes et clients Windows obsoletes en dependent encore, il faut inventorier et migrer avant la desactivation.
Comment se défendre contre Empoisonnement NBT-NS ?
Les défenses contre Empoisonnement NBT-NS combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Empoisonnement NBT-NS ?
Noms alternatifs courants : Spoofing NBNS, Usurpation NetBIOS Name Service.
● Termes liés
- attacks№ 620
Empoisonnement LLMNR
Technique d'adversary-in-the-middle (MITRE T1557.001) qui abuse du protocole Link-Local Multicast Name Resolution sur UDP/5355 pour rediriger les victimes vers des hotes controles par l'attaquant.
- attacks№ 924
Attaque Responder
Attaque utilisant l'outil Responder de Laurent Gaffie pour empoisonner LLMNR, NBT-NS et mDNS, heberger des services d'authentification factices et capturer ou relayer des identifiants NTLM sur un reseau local.
- attacks№ 746
Attaque NTLM Relay
Attaque de l'homme du milieu (MITRE T1557.001) ou un attaquant relaie l'authentification NTLM d'une victime vers un autre service pour usurper son identite sans connaitre son mot de passe.
- attacks№ 1057
Attaque SMB Relay
Variante particuliere du NTLM relay ou un attaquant relaie l'authentification SMB d'une victime vers un autre serveur SMB pour obtenir une execution de code ou un acces aux fichiers en son nom.
- attacks№ 790
Pass-the-Hash
Attaque par reutilisation d'identifiants qui s'authentifie sur des systemes Windows en utilisant un hash NTLM derobe a la place du mot de passe en clair.