SMB Relay

SMBRelay e SMBRelay2 sono programmi particolari in grado di attaccare computer remoti. Questi programmi si avvalgono del protocollo di condivisione file Server Message Block sovrapposto su NetBIOS. Se un utente condivide una cartella o una directory all’interno di una LAN, utilizza molto probabilmente questo protocollo di condivisione file.

Nell’ambito della comunicazione della rete locale, vengono scambiate password hash.

SMBRelay riceve una connessione sulle porte UDP 139 e 445, inoltra i pacchetti scambiati dal client e dal server e li modifica. Dopo aver eseguito la connessione e l’autenticazione, il client viene disconnesso. SMBRelay crea un nuovo indirizzo IP virtuale. SMBRelay inoltra le comunicazioni del protocollo SMB eccetto per la negoziazione e l’autenticazione. Gli aggressori remoti possono utilizzare l’indirizzo IP a condizione che il computer client sia connesso.

SMBRelay2 funziona in base agli stessi principi di SMBRelay, eccetto per il fatto che utilizza i nomi NetBIOS invece degli indirizzi IP. Entrambi sono in grado di eseguire attacchi di tipo "man‑in‑the‑middle". Questi attacchi consentono agli aggressori remoti di leggere, inserire e modificare i messaggi scambiati tra due endpoint di comunicazione senza essere notati. I computer esposti a tali attacchi spesso non rispondono più o si riavviano inaspettatamente.

Per evitare gli attacchi, si consiglia di utilizzare password o chiavi di autenticazione.