La Herramienta de respuesta puede capturar los hashes de netntlm de los clientes en una red de Microsoft AD ya sea utilizando LLMNR para responder a las preguntas "accidentalmente" por parte de los clientes respondiendo como servidores SMB inexistentes, o respondiendo a WPAD para insertarse como un servidor proxy local que puede requerir la autenticación de Windows para capturar los mismos hashes.
¿Se puede mitigar esto al requerir la firma de SMB por parte de los clientes en la red? es decir, ¿esto evitaría que el cliente envíe su respuesta al desafío de autenticación porque el desafío de autenticación no fue firmado?
A veces leo que la mitigación es deshabilitar LLMNR, sin embargo, me parece que lo mismo podría lograrse a través de la falsificación de ARP o mediante el envenenamiento de DNS (es decir, enviar una respuesta a los clientes porque está en una posición adecuada para ver las solicitudes), aunque esto se limitaría únicamente al segmento de red actual. ¿Esto es correcto?