SMB-relä

SMB Relay och SMB Relay 2 är speciella program som kan genomföra angrepp mot fjärrdatorer. Programmen utnyttjar fildelningsprotokollet SMB (Server Message Block) som ligger ovanpå NetBIOS. En användare som delar en eller katalog på det lokala nätverket använder troligen detta fildelningsprotokoll.

Inom den lokala nätverkskommunikationen utväxlas hash-värden för lösenord.

SMB Relay tar emot en anslutning på UDP-portarna 139 och 445 och vidarebefordrar paketen som skickas mellan klienten och servern samt modifierar dem. När anslutningen och autentiseringen har utförts kopplas klienten bort. SMB Relay skapar en ny virtuell IP-adress. Det går att få åtkomst till den nya adressen med kommandot ”net use \\192.168.1.1”. Därefter kan adressen användas av alla nätverksfunktioner i Windows. SMB Relay vidarebefordrar kommunikation med SMB-protokollet förutom förhandling och autentisering. Fjärrangripare kan använda IP-adressen så länge klientdatorn är ansluten.

SMB Relay 2 fungerar enligt samma princip som SMB Relay, förutom att det använder NetBIOS-namn i stället för IP-adresser. Båda kan utföra man-in-the-middle-attacker. Dessa angrepp gör det möjligt för fjärrangripare att läsa, infoga och ändra meddelanden som utväxlas mellan två kommunikationsslutpunkter utan att upptäckas. Datorer som utsätts för sådana angrepp slutar ofta svara eller startar oväntat om.

Vi rekommenderar att undvika angrepp genom att använda autentiseringslösenord eller nycklar.