SMB-továbbítás

Az SMB Relay és az SMB Relay2 olyan speciális programok, amelyek képesek távoli számítógépek megtámadására. Ehhez a Server Message Block fájlmegosztási protokollt használják, amely réteg a NetBIOS felett helyezkedik el. A helyi hálózaton keresztül mappát vagy könyvtárt megosztó felhasználók nagy valószínűséggel ezt a fájlmegosztási protokollt használják.

A helyi hálózaton zajló kommunikációban jelszókivonatok is továbbítódnak oda-vissza.

Az SMB Relay egy kapcsolatot fogad a 139-es és a 445-ös UDP-porton, továbbítja a kliens és a szerver között váltott csomagokat, és módosítja azokat. A csatlakozás és a hitelesítés után a kliens kapcsolata megszakad. Az SMB Relay egy új virtuális IP-címet hoz létre. Az új cím a „net use \\192.168.1.1” paranccsal érhető el, majd a Windows bármely hálózati szolgáltatásával használható. Az SMB Relay az egyeztetés és a hitelesítés kivételével továbbítja az SMB protokollon folytatott kommunikációt. A távoli támadók mindaddig használhatják az IP-címet, amíg a a kliensszámítógéppel fennáll a kapcsolat.

Az SMB Relay2 ugyanazon az elven működik, mint az SMB Relay, csak IP-címek helyett NetBIOS-neveket használ. Mindkét program képes a betolakodó illetéktelen személyek általi támadások kivitelezésére. Ez azt jelenti, hogy távoli támadók észrevétlenül elolvashatják és módosíthatják azokat az üzeneteket, amelyeket két kommunikációs végpont között váltanak, illetve üzeneteket szúrhatnak be a kommunikációs folyamatba. Az ilyen jellegű támadásoknak kitett számítógépek gyakran lefagyhatnak, vagy váratlanul újraindulhatnak.

A támadások elkerülése érdekében azt javasoljuk, hogy alkalmazzon hitelesítő jelszavakat vagy kulcsokat.