Relais SMB
SMB Relay et SMB Relay 2 sont des programmes spéciaux permettant de mener une attaque contre des ordinateurs distants. Les programmes tirent parti du protocole de partage de fichiers SMB (Server Message Block) situé sur NetBIOS. Lorsqu'un utilisateur partage des dossiers ou répertoires sur un réseau local, il utilise très probablement ce protocole de partage de fichiers.
Au cours des communications sur le réseau local, les empreintes numériques des mots de passe sont échangées.
SMB Relay reçoit une connexion sur les ports UDP 139 et 445, relaie les paquets échangés par le client et le serveur, et les modifie. Après connexion et authentification, le client est déconnecté. SMB Relay crée une nouvelle adresse virtuelle IP. Il est possible d'y accéder à l'aide de la commande "net use \\192.168.1.1". L'adresse peut ensuite être utilisée par n'importe quelle fonction de réseau de Windows. SMB Relay relaie les communications du protocole SMB, sauf la négociation et l'authentification. Les pirates peuvent utiliser l'adresse IP tant que l'ordinateur client est connecté.
SMB Relay 2 fonctionne selon le même principe que SMB Relay, si ce n'est qu'il utilise les noms NetBIOS plutôt que les adresses IP. Les deux programmes peuvent mener des attaques de type « man-in-the-middle ». Ces attaques permettent à des pirates de lire, d'insérer des données et de modifier à distance les messages échangés entre deux points de communication sans être remarqués. Les ordinateurs exposés à ce type d'attaque arrêtent souvent de répondre ou redémarrent de manière impromptue.
Pour éviter de telles attaques, nous vous recommandons d'utiliser des mots de passe ou des clés d'authentification.