Strumento di risposta può prendere gli hash netntlm dei client su una rete Microsoft AD utilizzando LLMNR per rispondere alle domande "accidentalmente" fatte dai client rispondendo come server SMB altrimenti inesistenti o rispondendo a WPAD per inserirsi come server proxy locale che può richiedere l'autenticazione di Windows per prelevare gli stessi hash.
Questo può essere mitigato richiedendo la firma SMB da parte dei client sulla rete? Ciò impedirà al client di inviare la sua risposta alla richiesta di autenticazione perché la richiesta di autenticazione non è stata firmata?
A volte leggo che la mitigazione è quella di disabilitare LLMNR, tuttavia mi sembra che lo stesso potrebbe essere ottenuto tramite spoofing ARP o avvelenamento DNS (ad esempio inviando una risposta ai client perché si è opportunamente posizionati per visualizzare le richieste), anche se questo sarebbe limitato all'attuale segmento di rete. È corretto?