Schwachstelle LLMNR NBT NS

LLMNR Local Link Multicast Name Resolution deaktivieren GPO

Windows Server 2012

Schwachstelle LLMNR & NBT-NS

LLMNR deaktivieren

Zur Auflösung von Hostnamen in IP-Adressen und umgekehrt gibt es ein Vielzahl von Techniken und Protokollen.

DNS ist die Technik zum Auflösen von IP-Adressen, gefolgt von weiteren:

LLMNR um das es aktuell geht, ist quasi eine zweite DNS Ebene und verfügt über einen eigenen Resolver-Cache, löst auch nur lokale (Subnetz) IP-Adressen auf, die über DNS nicht aufgelöst werden können.

Das Problem dabei ist, das eine Multicast-Anforderungen sehr einfach abgefangen und durch eine manipulierte Antwort ersetzt werden kann.

NetBIOS-Namen werden mithilfe des WINS-Dienstes in IP-Adressen aufgelöst. WINS nutzt NetBIOS über TCP/IP und ist ein unverzichtbares Werkzeug zur Namensauflösung und wichtig für Anwendungen die mit Browser-Listen arbeiten.

Welche Ports werden wofür benutzt?

DNS Port 53
WINS Port 137, 138, 139 und 445
NetBIOS UDP 137, 138, 139
LLMNR Multicast 5353; Unicast 5355

LLMNR Local Link Multicast Name Resolution deaktivieren GPO:

Disable LLMNR

https://www.der-windows-papst.de/2017/06/25/wins-deaktivieren-vulnerability/