Relais SMB

SMBRelay et SMBRelay2 sont des programmes spéciaux capables de mener des attaques contre des ordinateurs distants. Ces programmes tirent parti du protocole de partage de fichiers SMB (Server Message Block), qui tourne par dessus NetBIOS. Un utilisateur qui partage un dossier ou un répertoire sur un LAN utilise fort probablement ce protocole de partage de fichiers.

Au sein d'une communication en réseau local, les ordinateurs s'échangent des hachages de mots de passe.

SMBRelay reçoit une connexion sur les ports UDP 139 et 445, relaie les paquets échangés entre le client et le serveur, puis les modifie. Après la connexion et l'authentification, le client est déconnecté. SMBRelay crée alors une nouvelle adresse IP virtuelle. SMBRelay relaie les communications du protocole SMB à l'exception de la négociation et de l'authentification. Les attaquants à distance peuvent utiliser l'adresse IP tant que l'ordinateur client est connecté.

SMBRelay2 fonctionne selon le même principe que SMBRelay, si ce n'est qu'il utilise des noms NetBIOS plutôt que des adresses IP. Les deux programmes peuvent mener des attaques de type « man-in-the-middle ». Ces attaques permettent à leurs auteurs de lire, insérer et modifier les messages échangés entre deux points de communication à leur insu. Les ordinateurs exposés à de telles attaques s'arrêtent souvent de répondre ou redémarrent de manière inattendue.

Pour éviter ces attaques, nous recommandons d'utiliser des mots de passe ou des clés d'authentification.