SMB Relay

SMB Relay en SMB Relay 2 zijn speciale programma's waarmee externe computers kunnen worden aangevallen. Deze programma's maken gebruik van het SMB-protocol (Server Message Block) voor bestandsdeling, dat is gelaagd op het NetBIOS. Een gebruiker die een map of directory binnen het LAN deelt, gebruikt meestal dit protocol voor bestandsdeling.

Binnen lokale netwerkcommunicatie worden wachtwoordhashes uitgewisseld.

SMB Relay ontvangt een verbinding op UDP-poort 139 en 445, relayeert de pakketten die door de client en de server zijn uitgewisseld en wijzigt de pakketten. Nadat de verbinding tot stand is gebracht en de verificatie is uitgevoerd, wordt de verbinding met de client verbroken. SMB Relay maakt een nieuw virtueel IP-adres. Het nieuwe adres is toegankelijk met behulp van de opdracht 'net use \\192.168.1.1'. Vervolgens kan het adres door alle Windows-netwerkfuncties worden gebruikt. SMB Relay relayeert communicatie via het SMB-protocol, met uitzondering van onderhandelingen en verificatie. Externe aanvallers kunnen het IP-adres gebruiken zolang de clientcomputer is verbonden.

SMB Relay 2 werkt volgens hetzelfde principe als SMBRelay, alleen gebruikt SMB Relay 2 NetBIOS-namen in plaats van IP-adressen. Beide kunnen 'man-in-het-midden'-aanvallen uitvoeren. Hierbij kunnen externe aanvallers ongemerkt berichten die tussen twee communicatie-eindpunten worden uitgewisseld, lezen, invoegen en wijzigen. Computers die aan dergelijke aanvallen worden blootgesteld, reageren vaak niet meer of worden onverwacht opnieuw opgestart.

Wij adviseren u verificatiewachtwoorden of -sleutels te gebruiken om deze aanvallen te voorkomen.