Куда я попал?
SECURITM это система для корпоративных служб информационной безопасности,
которая автоматизирует ключевые процессы управления:
контроль соответствия требованиям, управление рисками, учет активов, планирование работ,
задачи, технические уязвимости, опросы и т.д.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
SECURITM помогает построить и управлять ИСПДн, КИИ, ГИС, СМИБ/СУИБ, банковскими системами защиты.
А еще SECURITM это место для обмена опытом в рамках сообщества служб безопасности.
из-за уязвимости
Возможность атаки LLMNR спуфинг
в Активе
ОС Windows
Описание угрозы
В передаваемых по сети данных могут содержаться в незашифрованном виде пароли доступа, хеши паролей, рабочая информация, в том числе конфиденциального характера, техническая информация об ИТ инфраструктуре.
Описание уязвимости
Протокол LLMNR (Link-Local Multicast Name Resolution) (UDP/5355) является механизм для многоадресного разрешения локальных имен.
Протокол присутствует во всех версиях Windows, начиная с Vista и позволяет IPv6 и IPv4 клиентам за счет широковещательных запросов в локальном сегменте сети L2 разрешать имена соседних компьютеров без использования DNS сервера. Этот протокол также автоматически используется при недоступности DNS.
Атака LLMNR спуфинг относится к типу атак человек-посередине и возможна потому, что служба имен отсылает сообщение всем клиентам в сети, а не конкретному серверу. Клиент неявно доверяет всем, кого видит. При успешной атаке возможно получить NetNTLM-хеши паролей пользователей.
Для реализации атаки необходим доступ к локальной сети.
Подробнее на Хабре
Видео и инструкция по проведению атаки
Протокол присутствует во всех версиях Windows, начиная с Vista и позволяет IPv6 и IPv4 клиентам за счет широковещательных запросов в локальном сегменте сети L2 разрешать имена соседних компьютеров без использования DNS сервера. Этот протокол также автоматически используется при недоступности DNS.
Атака LLMNR спуфинг относится к типу атак человек-посередине и возможна потому, что служба имен отсылает сообщение всем клиентам в сети, а не конкретному серверу. Клиент неявно доверяет всем, кого видит. При успешной атаке возможно получить NetNTLM-хеши паролей пользователей.
Для реализации атаки необходим доступ к локальной сети.
Подробнее на Хабре
Видео и инструкция по проведению атаки
Описание типа актива
Microsoft Windows любых версий
Область действия: Вся организация
Классификация
КЦД:
Конфиденциальность
?
STRIDE:
Раскрытие информации
?
Источники угрозы
Внутренний нарушитель -
Средний потенциал
?
БДУ ФСТЭК:
УБИ.069
Угроза неправомерных действий в каналах связи
?
Угроза заключается в возможности внесения нарушителем изменений в работу сетевых протоколов путём добавления или удаления данных...
УБИ.116
Угроза перехвата данных, передаваемых по вычислительной сети
?
Угроза заключается в возможности осуществления нарушителем несанкционированного доступа к сетевому трафику дискредитируемой вычи...
УБИ.181
Угроза перехвата одноразовых паролей в режиме реального времени
?
Угроза заключается в возможности получения нарушителем управления критическими операциями пользователя путём перехвата одноразов...
Техники ATT@CK:
T1040
Network Sniffing
?
Adversaries may sniff network traffic to capture information about an environment, including authentication material passed over...
T1557.001
Adversary-in-the-Middle:
LLMNR/NBT-NS Poisoning and SMB Relay
By responding to LLMNR/NBT-NS network traffic, adversaries may spoof an authoritative source for name resolution to force commun...
Связанные защитные меры
| Название | Дата | Влияние | ||
|---|---|---|---|---|
|
Community
1
1 / 21
|
Отключение протокола LLMNR на ПК и серверах Windows
Разово
Автоматически
Техническая
Превентивная
15.06.2021
|
15.06.2021 | 1 1 / 21 |