LLMNR/NBT-NS Poisoning

LLMNR (Link-Local Multicast Name Resolution, RFC 4795) et NBT-NS (NetBIOS Name Service) sont deux protocoles Windows de résolution de noms locaux, utilisés en fallback quand DNS échoue. Activés par défaut sur tous les systèmes Windows, ils émettent des broadcasts multicast pour résoudre les noms d'hôtes — et acceptent la première réponse reçue. Cette confiance aveugle dans les réponses non authentifiées sur le réseau local est un vecteur d'attaque majeur en environnement interne.

L'attaque par poisoning consiste à se placer sur le segment réseau (LAN, VLAN, sans-fil corporate) et à répondre à toutes les requêtes LLMNR/NBT-NS en se prétendant être le host demandé. Quand un utilisateur ou un service tente une connexion (typiquement vers un partage SMB inexistant à cause d'une typo, d'une GPO mal configurée, d'un raccourci obsolète), il est redirigé vers l'attaquant et envoie automatiquement ses credentials NTLM via SMB/HTTP — capturés ou relayés.

Les outils : Responder (Python, le plus connu), Inveigh (PowerShell/C#, multiplateforme), MITM6 (couple IPv6 RA + DNS spoof + LLMNR/NBT-NS). Le poisoning fonctionne particulièrement bien lors du démarrage des stations (recherche de WPAD, ISATAP, partages mappés) et durant les heures de bureau.

Mitigations : (1) désactiver LLMNR via GPO : Computer Configuration > Administrative Templates > Network > DNS Client > Turn Off Multicast Name Resolution = Enabled ; (2) désactiver NBT-NS sur chaque interface (registry NetbiosOptions=2 ou GPO via WMI filter) ; (3) désactiver WPAD ; (4) SMB Signing forcé ; (5) NetBIOS sur IPv6 = mDNS Bonjour, à désactiver également ; (6) sur Windows 11 24H2, plusieurs de ces protocoles sont désactivés par défaut.