Relais SMB

SMB Relay et SMB Relay 2 sont des programmes spéciaux capables d'effectuer des attaques contre des ordinateurs distants. Les programmes utilisent le protocole de partage de fichiers SMB (Server Message Block) situé sur NetBIOS. Lorsqu'un utilisateur partage des dossiers ou des répertoires sur un réseau local, il y a de grandes chances qu'il utilise ce protocole de partage de fichiers.

Les empreintes numériques des mots de passe sont échangées lors des communications sur le réseau local.

SMB Relay reçoit une connexion sur les ports UDP 139 et 445, relaie les paquets échangés par le client et le serveur, et les modifie. Après connexion et authentification, le client est déconnecté. SMB Relay crée une nouvelle adresse virtuelle IP, à laquelle il est possible d'accéder à l'aide de la commande « net use \\192.168.1.1 ». L'adresse peut ensuite être utilisée par n'importe quelle fonction de réseau de Windows. SMB Relay relaie les communications du protocole SMB, sauf la négociation et l'authentification. Les pirates peuvent utiliser l'adresse IP tant que l'ordinateur client est connecté.

SMB Relay 2 fonctionne selon le même principe que SMB Relay, si ce n'est qu'il utilise les noms NetBIOS plutôt que les adresses IP. Tous deux peuvent effectuer des attaques de type « l'homme du milieu » (man-in-the-middle). Ces attaques permettent à des pirates de lire les messages échangés entre deux points de communication sans être remarqué, ainsi que d'y insérer des données et de les modifier à distance. Les ordinateurs exposés à ce type d'attaque arrêtent souvent de répondre ou redémarrent de manière impromptue.

Pour éviter de telles attaques, nous vous recommandons d'utiliser des mots de passe ou des clés d'authentification.