SMB Relay

SMB Relay e SMB Relay 2 sono programmi speciali in grado di infliggere attacchi ai computer remoti. Questi programmi si avvalgono del protocollo di condivisione file SMB (Server Message Block) sovrapposto su NetBIOS. Se un utente condivide una cartella o una directory all'interno della LAN, è molto probabile che utilizzi questo protocollo di condivisione file.

Nell’ambito della comunicazione della rete locale, vengono scambiate password hash.

SMB Relay riceve una connessione sulle porte UDP 139 e 445, inoltra i pacchetti scambiati dal client e dal server e li modifica. Dopo aver eseguito la connessione e l’autenticazione, il client viene disconnesso. SMB Relay crea un nuovo indirizzo IP virtuale. È possibile accedere al nuovo indirizzo utilizzando il comando "net use \\192.168.1.1". L'indirizzo può quindi essere utilizzato da qualsiasi funzione di rete di Windows. SMB Relay inoltra la comunicazione del protocollo SMB tranne che per la negoziazione e l'autenticazione. Gli aggressori remoti possono utilizzare l’indirizzo IP a condizione che il computer client sia connesso.

SMB Relay 2 funziona in base agli stessi principi di SMB Relay, tranne per il fatto che utilizza i nomi NetBIOS anziché gli indirizzi IP. Entrambi sono in grado di eseguire attacchi di tipo "man‑in‑the‑middle". Questi attacchi consentono agli aggressori remoti di leggere, inserire e modificare i messaggi scambiati tra due endpoint di comunicazione senza essere notati. I computer esposti a tali attacchi spesso smettono di rispondere o si riavviano inaspettatamente.

Per evitare gli attacchi, si consiglia di utilizzare password o chiavi di autenticazione.