Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

SMBRelay и SMBRelay2 - это компьютерные программы, которые можно использовать для проведения атак SMB « человек посередине» (mitm) на компьютерах Windows . Они были написаны сэром Дистиком из CULT OF THE DEAD COW (cDc) и выпущены 21 марта 2001 года на конвенции @lantacon в Атланте , штат Джорджия . Спустя более семи лет после его выпуска Microsoft выпустила патч, исправляющий дыру, использованную SMBRelay. [1] [2]Это исправление устраняет уязвимость только тогда, когда SMB отражается обратно клиенту. Если он перенаправлен на другой хост, уязвимость все еще может быть использована. [3] [4]

SMBRelay [ править ]

SMBrelay принимает соединение через порт 139 UDP и ретранслирует пакеты между клиентом и сервером подключающейся машины Windows на порт 139 исходного компьютера. При необходимости он изменяет эти пакеты.

После подключения и проверки подлинности целевой клиент отключается, и SMBRelay связывается с портом 139 на новом IP-адресе . Затем к этому адресу ретранслятора можно напрямую подключиться, используя «net use \\ 192.1.1.1», а затем использовать все сетевые функции, встроенные в Windows. Программа ретранслирует весь SMB-трафик, за исключением согласования и аутентификации. Пока целевой хост остается подключенным, пользователь может отключиться от этого виртуального IP- адреса и снова подключиться к нему .

SMBRelay собирает NTLM паролей хэшей и записывает их в hashes.txt в формат , используемый при L0phtCrack для взлома на более позднее время.

Поскольку порт 139 является привилегированным портом и требует доступа администратора для использования, SMBRelay должен запускаться от имени учетной записи администратора. Однако, поскольку порт 139 необходим для сеансов NetBIOS , его сложно заблокировать.

По словам сэра Дистика, «проблема в том, что с точки зрения маркетинга Microsoft хочет, чтобы их продукты имели как можно большую обратную совместимость ; но, продолжая использовать протоколы с известными проблемами, они продолжают подвергать своих клиентов риску эксплуатации. .. Это еще раз известные проблемы, которые существовали с первого дня использования этого протокола. Это не ошибка, а фундаментальный недостаток дизайна. Предполагать, что никто не использовал этот метод для эксплуатации людей, глупо; мне потребовалось меньше две недели на написание SMBRelay ". [5]

SMBRelay2 [ править ]

SMBRelay2 работает на уровне NetBIOS через любой протокол, к которому привязан NetBIOS (например, NBF или NBT ). Он отличается от SMBrelay тем, что использует имена NetBIOS, а не IP-адреса.

SMBRelay2 также поддерживает посредничество третьего хоста. Однако он поддерживает одновременное прослушивание только одного имени.

См. Также [ править ]

Ссылки [ править ]

  1. ^ " Бюллетень безопасности Microsoft MS08-068 ." Бюллетень по безопасности Microsoft, 11 ноября 2008 г. Проверено 12 ноября 2008 г.
  2. ^ Фонтана, Джон. « Патч Microsoft закрывает дыру в 7-летней ОС, - говорит эксперт. Архивировано 2 апреля 2012 года на Wayback Machine ». Network World , 12 ноября 2008 г. Проверено 12 ноября 2008 г.
  3. ^ " [1] ." NTLM мертв - 20 DefCon
  4. ^ " "Архивная копия" (PDF) . Архивировано из оригинального (PDF) на 2011-11-26 . Retrieved 2012-01-26 .CS1 maint: archived copy as title (link). »Ошибки безопасности в протоколах действительно плохи!
  5. ^ Грин, Томас К. « Эксплойт разрушает безопасность WinNT / 2K ». Интернет-издание Регистра , 19 апреля 2001 г. Проверено 20 августа 2005 г.

Внешние ссылки [ править ]

  • Атака SMB Man-In-the-Middle, автор сэра Дистика
  • Бюллетень Symantec по безопасности
  • Как отключить аутентификацию LM в Windows NT - список уязвимых операционных систем
  • Ваше практическое руководство по обеспечению безопасности сетевых протоколов
  • Расширенная защита для аутентификации