Cервис управления информационной безопасностью
Cервис управления информационной безопасностью
Вход Регистрация

Карточка риска

Риски Риск перехвата данных, передав...
Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности, которая автоматизирует ключевые процессы управления: контроль соответствия требованиям, управление рисками, учет активов, планирование работ, задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
Подробнее
Наш канал
 
Угроза

Перехват данных, передаваемых по локальной сети

из-за уязвимости

Возможность атаки LLMNR спуфинг

в Активе

ОС Windows

1

Описание угрозы

В передаваемых по сети данных могут содержаться в незашифрованном виде пароли доступа, хеши паролей, рабочая информация, в том числе конфиденциального характера, техническая информация об ИТ инфраструктуре.

Описание уязвимости

Протокол LLMNR (Link-Local Multicast Name Resolution) (UDP/5355) является механизм для многоадресного разрешения локальных имен.
Протокол присутствует во всех версиях Windows, начиная с Vista и позволяет IPv6 и IPv4 клиентам за счет широковещательных запросов в локальном сегменте сети L2 разрешать имена соседних компьютеров без использования DNS сервера. Этот протокол также автоматически используется при недоступности DNS.
Атака LLMNR спуфинг относится к типу атак человек-посередине и возможна потому, что служба имен отсылает сообщение всем клиентам в сети, а не конкретному серверу. Клиент неявно доверяет всем, кого видит. При успешной атаке возможно получить NetNTLM-хеши паролей пользователей.
Для реализации атаки необходим доступ к локальной сети.
Подробнее на Хабре
Видео и инструкция по проведению атаки

Описание типа актива

Microsoft Windows любых версий
Объекты атаки Локальная сеть | Сетевой трафик
Классификация
КЦД: Конфиденциальность ? Конфиденциальность / confidentiality Свойство информации быть недоступной или закрытой для неавторизованных лиц, сущностей или процессов.
STRIDE: Раскрытие информации ? Раскрытие информации / Information disclosure Раскрытие сведений лицам которые к этой информации не должны иметь доступа. Защищаемое свойство - конфиденциальнос...
Источники угрозы
Внутренний нарушитель - Средний потенциал ? Внутренний нарушитель Находящийся внутри информационной системы на момент начала реализации угрозы. К внутренним нарушителям относят инсайдеров, несмотря на то...

Каталоги угроз

БДУ ФСТЭК:
УБИ.069 Угроза неправомерных действий в каналах связи ? Унаследовано от входящей в состав риска угрозы
Угроза заключается в возможности внесения нарушителем изменений в работу сетевых протоколов путём добавления или удаления данных...
УБИ.116 Угроза перехвата данных, передаваемых по вычислительной сети ? Унаследовано от входящей в состав риска угрозы
Угроза заключается в возможности осуществления нарушителем несанкционированного доступа к сетевому трафику дискредитируемой вычи...
УБИ.181 Угроза перехвата одноразовых паролей в режиме реального времени ? Унаследовано от входящей в состав риска угрозы
Угроза заключается в возможности получения нарушителем управления критическими операциями пользователя путём перехвата одноразов...
Техники ATT@CK:
T1040 Network Sniffing ? Унаследовано от входящей в состав риска угрозы
Adversaries may sniff network traffic to capture information about an environment, including authentication material passed over...
T1557.001 Adversary-in-the-Middle: LLMNR/NBT-NS Poisoning and SMB Relay
By responding to LLMNR/NBT-NS network traffic, adversaries may spoof an authoritative source for name resolution to force commun...

Связанные защитные меры

Разово Постоянно По событию Ежедневно Еженедельно Ежемесячно Ежеквартально Ежегодно
Организационная Техническая Физическая Превентивная Детективная Корректирующая Восстановительная Удерживающая Компенсирующая
Название Дата Влияние
Community
1 1 / 19
Отключение протокола LLMNR на ПК и серверах Windows
Разово Автоматически Техническая Превентивная
15.06.2021 		15.06.2021 1 1 / 19
Цель: уменьшение поверхности для сетевых атак 

Протокол LLMNR (Link-Local Multicast Name Resolution) (UDP/5355) это механизм многоадресного разрешения локальных имен.
Протокол присутствует во всех версиях Windows, начиная с Vista и позволяет IPv6 и IPv4 клиентам за счет широковещательных запросов в локальном сегменте сети L2 разрешать имена соседних компьютеров без использования DNS сервера. Этот протокол также автоматически используется при недоступности DNS.
Протокол уязвим к атаке LLMNR/NBNS-спуфинга через которую возможна компрометация хешей паролей пользователей.
Для исключения возможности атаки протокол необходимо отключить и на уровне рабочих станций и на уровне серверов.

Настройка с помощью групповой политики:
Computer Configuration\Administrative Templates\Network\DNS Client 
Параметр: Turn Off Multicast Name Resolution 
Значение: Enabled
Конфигурация компьютера\Политики\Административные шаблоны\Сеть\DNS-клиент
Параметр: Отключить  многоадресное разрешение имен 
Значение: Включено

Статья на тему

Рекомендации к заполнению карточки: