SMB-relé

SMB Relay og SMB Relay 2 er spesielle programmer som er i stand til å utføre angrep mot eksterne datamaskiner. Programmene utnytter fildelingsprotokollen Server Message Block, som er et lag i NetBIOS. En bruker som deler en mappe eller en katalog innenfor LAN-et, bruker sannsynligvis denne delingsprotokollen.

I den lokale nettverkskommunikasjonen blir passord-hasher utvekslet.

SMB Relay mottar en tilkobling på UDP port 139 og 445, videresender pakkene utvekslet av klienten og serveren, og endrer dem. Etter tilkobling og autentisering blir klienten koblet fra. SMB Relay lager en ny, virtuell IP-adresse. Du får tilgang til den nye adressen ved å bruke kommandoen “net use \\192.168.1.1". Adressen kan deretter brukes av hvilken som helst av nettverksfunksjonene i Windows. SMB Relay videresender SMB protokollkommunikasjon unntatt ved forhandling og autentisering. Eksterne angripere kan bruke IP-adressen så lenge klientdatamaskinen er koblet til.

SMB Relay 2 fungerer på samme måte som SMB Relay, med unntak av at den bruker NetBIOS-navn i stedet for IP-adresser. Begge kan utføre "mellommannsangrep". Disse angrepene lar eksterne angripere lese, sette inn og endre meldinger som blir utvekslet mellom to sluttpunkter for kommunikasjon uten å bli oppdaget. Datamaskiner som er utsatt for slike angrep, slutter ofte å reagere eller starter uventet på nytt.

For å unngå angrep anbefaler vi at du bruker autentiseringspassord eller -nøkler.