Poisoning de LLMNR y NBT-NS

NBT-NS (137, 5355, 139, 445)

Los ataques de Poisoning de LLMNR y NBT-NS son una forma de suplantación de nombres en redes locales, donde un atacante envenena las respuestas de LLMNR (Link-Local Multicast Name Resolution) y NBT-NS (NetBIOS Name Service) para interceptar las credenciales de los usuarios, como los hashes NTLM. Estos protocolos son utilizados por los sistemas Windows para la resolución de nombres cuando no pueden acceder a un servidor DNS. Si un dispositivo en la red intenta resolver un nombre y no encuentra la IP asociada, puede recurrir a LLMNR o NBT-NS, permitiendo a un atacante responder con información falsa y capturar las credenciales de autenticación.

Puertos Relevantes y Explicación de Vulnerabilidades

Puertos 137 y 5355:

  • Puerto 137 (NBT-NS): Este puerto está asociado con NetBIOS Name Service (NBT-NS), utilizado para la resolución de nombres en una red local.

  • Puerto 5355 (LLMNR): Este puerto se usa para Link-Local Multicast Name Resolution (LLMNR), un protocolo utilizado para la resolución de nombres en redes locales cuando no se puede acceder a un servidor DNS.

Vulnerabilidad y Evaluación del Dispositivo:

  • Si los puertos 137 y 5355 están cerrados, el dispositivo no está utilizando LLMNR ni NBT-NS para la resolución de nombres, lo que lo hace menos vulnerable a ataques de envenenamiento (poisoning) relacionados con estos protocolos. En otras palabras, los dispositivos que no escuchan en estos puertos no responderán a solicitudes de nombres envenenadas, lo que limita la efectividad de ataques que explotan estas vulnerabilidades.

  • Sin embargo, aunque LLMNR y NBT-NS estén deshabilitados o cerrados, el dispositivo aún puede ser vulnerable a otros ataques, como los dirigidos a SMB (puertos 139 y 445). Si estos puertos están abiertos, es posible realizar ataques de Pass-the-Hash o EternalBlue, lo que permite a un atacante tomar control del dispositivo o acceder a recursos compartidos sin necesidad de conocer las contraseñas en texto claro.

Herramientas para Exploitar Vulnerabilidades:

  • Responder: Esta herramienta es utilizada para realizar ataques de poisoning a través de LLMNR, NBT-NS, y MDNS. Responder responde a solicitudes de resolución de nombres de manera maliciosa, capturando las credenciales, como los hashes NTLM, de los dispositivos de la red.

    • GitHub - SpiderLabs/Responder: Responder en GitHub

    • Uso de Responder: Responder intercepta y envenena solicitudes de nombre, forzando a los dispositivos a enviar credenciales de autenticación a la máquina del atacante.

LogoGitHub - SpiderLabs/Responder: Responder is a LLMNR, NBT-NS and MDNS poisoner, with built-in HTTP/SMB/MSSQL/FTP/LDAP rogue authentication server supporting NTLMv1/NTLMv2/LMv2, Extended Security NTLMSSP and Basic HTTP authentication.GitHub

PreviousTGTNextCRTA - CWL

Last updated