Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Описание угрозы

В передаваемых по сети данных могут содержаться в незашифрованном виде пароли доступа, хеши паролей, рабочая информация, в том числе конфиденциального характера, техническая информация об ИТ инфраструктуре.

Описание уязвимости

Протокол LLMNR (Link-Local Multicast Name Resolution) (UDP/5355) является механизм для многоадресного разрешения локальных имен.
Протокол присутствует во всех версиях Windows, начиная с Vista и позволяет IPv6 и IPv4 клиентам за счет широковещательных запросов в локальном сегменте сети L2 разрешать имена соседних компьютеров без использования DNS сервера. Этот протокол также автоматически используется при недоступности DNS.
Атака LLMNR спуфинг относится к типу атак человек-посередине и возможна потому, что служба имен отсылает сообщение всем клиентам в сети, а не конкретному серверу. Клиент неявно доверяет всем, кого видит. При успешной атаке возможно получить NetNTLM-хеши паролей пользователей.
Для реализации атаки необходим доступ к локальной сети.
Подробнее на Хабре
Видео и инструкция по проведению атаки

Описание типа актива

Microsoft Windows любых версий
Классификация
КЦД: Конфиденциальность ? Конфиденциальность / confidentiality Свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов.
STRIDE: Раскрытие информации ? Раскрытие информации / Information disclosure Раскрытие сведений лицам которые к этой информации не должны иметь доступа. Защищаемое свойство - конфиденциальнос...
Источники угрозы
Внутренний нарушитель - Средний потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...

Каталоги угроз

БДУ ФСТЭК:
УБИ.069 Угроза неправомерных действий в каналах связи ? Унаследовано от входящей в состав риска угрозы
Угроза заключается в возможности внесения нарушителем изменений в работу сетевых протоколов путём добавления или удаления данных...
УБИ.116 Угроза перехвата данных, передаваемых по вычислительной сети ? Унаследовано от входящей в состав риска угрозы
Угроза заключается в возможности осуществления нарушителем несанкционированного доступа к сетевому трафику дискредитируемой вычи...
УБИ.181 Угроза перехвата одноразовых паролей в режиме реального времени ? Унаследовано от входящей в состав риска угрозы
Угроза заключается в возможности получения нарушителем управления критическими операциями пользователя путём перехвата одноразов...
Техники ATT@CK:
T1040 Network Sniffing ? Унаследовано от входящей в состав риска угрозы
Adversaries may sniff network traffic to capture information about an environment, including authentication material passed over...
T1557.001 Man-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay
By responding to LLMNR/NBT-NS network traffic, adversaries may spoof an authoritative source for name resolution to force commun...

Связанные защитные меры

Название Дата Влияние
Community
1 1 / 16
Отключение протокола LLMNR на ПК и серверах Windows
Разово Автоматически Техническая Превентивная
15.06.2021
15.06.2021 1 1 / 16
Цель: уменьшение поверхности для сетевых атак 

Протокол LLMNR (Link-Local Multicast Name Resolution) (UDP/5355) это механизм многоадресного разрешения локальных имен.
Протокол присутствует во всех версиях Windows, начиная с Vista и позволяет IPv6 и IPv4 клиентам за счет широковещательных запросов в локальном сегменте сети L2 разрешать имена соседних компьютеров без использования DNS сервера. Этот протокол также автоматически используется при недоступности DNS.
Протокол уязвим к атаке LLMNR/NBNS-спуфинга через которую возможна компрометация хешей паролей пользователей.
Для исключения возможности атаки протокол необходимо отключить и на уровне рабочих станций и на уровне серверов.

Настройка с помощью групповой политики:
Computer Configuration\Administrative Templates\Network\DNS Client 
Параметр: Turn Off Multicast Name Resolution 
Значение: Enabled
Конфигурация компьютера\Политики\Административные шаблоны\Сеть\DNS-клиент
Параметр: Отключить  многоадресное разрешение имен 
Значение: Включено

Статья на тему

Рекомендации к заполнению карточки: