SMBRelay и SMBRelay2 - это компьютерные программы, которые можно использовать для проведения атак SMB « человек посередине» (mitm) на компьютерах Windows . Они были написаны сэром Дистиком из CULT OF THE DEAD COW (cDc) и выпущены 21 марта 2001 года на конвенции @lantacon в Атланте , штат Джорджия . Спустя более семи лет после его выпуска Microsoft выпустила патч, исправляющий дыру, использованную SMBRelay. [1] [2]Это исправление устраняет уязвимость только тогда, когда SMB отражается обратно клиенту. Если он перенаправлен на другой хост, уязвимость все еще может быть использована. [3] [4]
SMBRelay [ править ]
SMBrelay принимает соединение через порт 139 UDP и ретранслирует пакеты между клиентом и сервером подключающейся машины Windows на порт 139 исходного компьютера. При необходимости он изменяет эти пакеты.
После подключения и проверки подлинности целевой клиент отключается, и SMBRelay связывается с портом 139 на новом IP-адресе . Затем к этому адресу ретранслятора можно напрямую подключиться, используя «net use \\ 192.1.1.1», а затем использовать все сетевые функции, встроенные в Windows. Программа ретранслирует весь SMB-трафик, за исключением согласования и аутентификации. Пока целевой хост остается подключенным, пользователь может отключиться от этого виртуального IP- адреса и снова подключиться к нему .
SMBRelay собирает NTLM паролей хэшей и записывает их в hashes.txt в формат , используемый при L0phtCrack для взлома на более позднее время.
Поскольку порт 139 является привилегированным портом и требует доступа администратора для использования, SMBRelay должен запускаться от имени учетной записи администратора. Однако, поскольку порт 139 необходим для сеансов NetBIOS , его сложно заблокировать.
По словам сэра Дистика, «проблема в том, что с точки зрения маркетинга Microsoft хочет, чтобы их продукты имели как можно большую обратную совместимость ; но, продолжая использовать протоколы с известными проблемами, они продолжают подвергать своих клиентов риску эксплуатации. .. Это еще раз известные проблемы, которые существовали с первого дня использования этого протокола. Это не ошибка, а фундаментальный недостаток дизайна. Предполагать, что никто не использовал этот метод для эксплуатации людей, глупо; мне потребовалось меньше две недели на написание SMBRelay ". [5]
SMBRelay2 [ править ]
SMBRelay2 работает на уровне NetBIOS через любой протокол, к которому привязан NetBIOS (например, NBF или NBT ). Он отличается от SMBrelay тем, что использует имена NetBIOS, а не IP-адреса.
SMBRelay2 также поддерживает посредничество третьего хоста. Однако он поддерживает одновременное прослушивание только одного имени.
См. Также [ править ]
Ссылки [ править ]
- ^ " Бюллетень безопасности Microsoft MS08-068 ." Бюллетень по безопасности Microsoft, 11 ноября 2008 г. Проверено 12 ноября 2008 г.
- ^ Фонтана, Джон. « Патч Microsoft закрывает дыру в 7-летней ОС, - говорит эксперт. Архивировано 2 апреля 2012 года на Wayback Machine ». Network World , 12 ноября 2008 г. Проверено 12 ноября 2008 г.
- ^ " [1] ." NTLM мертв - 20 DefCon
- ^ " "Архивная копия" (PDF) . Архивировано из оригинального (PDF) на 2011-11-26 . Retrieved 2012-01-26 .CS1 maint: archived copy as title (link). »Ошибки безопасности в протоколах действительно плохи!
- ^ Грин, Томас К. « Эксплойт разрушает безопасность WinNT / 2K ». Интернет-издание Регистра , 19 апреля 2001 г. Проверено 20 августа 2005 г.
Внешние ссылки [ править ]
- Атака SMB Man-In-the-Middle, автор сэра Дистика
- Бюллетень Symantec по безопасности
- Как отключить аутентификацию LM в Windows NT - список уязвимых операционных систем
- Ваше практическое руководство по обеспечению безопасности сетевых протоколов
- Расширенная защита для аутентификации