SMBRelay - SMBRelay

SMBRelay и SMBRelay2 находятся компьютерные программы что можно использовать для выполнения SMB Атаки "человек посередине" (митм) на Windows машины. Они были написаны Сэр Дистик из КУЛЬТ МЕРТВОЙ КОРОВЫ (cDc) и выпущен 21 марта 2001 г. @lantacon конвенция в Атланта, Грузия. Спустя более семи лет после его выпуска Microsoft выпустила патч, исправляющий дыру, использованную SMBRelay.[1][2] Это исправление устраняет уязвимость только тогда, когда SMB отражается обратно клиенту. Если он перенаправлен на другой хост, уязвимость все еще может быть использована.[3][4]

SMBRelay

SMBrelay получает соединение на UDP порт 139 и ретранслирует пакеты между клиентом и сервером подключающейся машины Windows к порту 139 исходного компьютера. При необходимости он изменяет эти пакеты.

После подключения и аутентификации целевой клиент отключается, и SMBRelay связывается с портом 139 на новом айпи адрес. Затем к этому адресу ретранслятора можно напрямую подключиться с помощью «net use 192.1.1.1», а затем использовать все сетевые функции, встроенные в Windows. Программа ретранслирует весь SMB-трафик, за исключением согласования и аутентификации. Пока целевой хост остается подключенным, пользователь может отключиться и снова подключиться к нему. виртуальный IP.

SMBRelay собирает NTLM пароль хеши и записывает их в hashes.txt в формате, пригодном для использования L0phtCrack для взлома в более позднее время.

Поскольку порт 139 является привилегированным и требует администратор доступ для использования, SMBRelay должен запускаться как учетная запись администратора. Однако, поскольку порт 139 необходим для NetBIOS сеансы сложно заблокировать.

По словам сэра Дистика, «проблема в том, что с точки зрения маркетинга Microsoft хочет, чтобы в их продуктах было как можно больше Обратная совместимость по возможности; но, продолжая использовать протоколы, у которых есть известные проблемы, они продолжают подвергать своих клиентов риску эксплуатации ... Это, опять же, известные проблемы, которые существуют с первого дня применения этого протокола. Это не ошибка, а фундаментальный недостаток дизайна. Глупо предполагать, что никто не использовал этот метод для эксплуатации людей; на написание SMBRelay у меня ушло меньше двух недель ". [5]

SMBRelay2

SMBRelay2 работает на уровне NetBIOS по любому протоколу, к которому привязан NetBIOS (например, NBF или же NBT ). Он отличается от SMBrelay тем, что использует имена NetBIOS, а не IP-адреса.

SMBRelay2 также поддерживает посредничество третьего хоста. Однако он поддерживает прослушивание только одного имени за раз.

Смотрите также

Рекомендации

  1. ^ "Бюллетень по безопасности Microsoft MS08-068. »Бюллетень по безопасности Microsoft, 11 ноября 2008 г. Проверено 12 ноября 2008 г.
  2. ^ Фонтана, Джон. "Эксперт: патч Microsoft закрывает дыру в ОС 7-летней давности В архиве 2012-04-02 в Wayback Machine." Сетевой мир, 12 ноября, 2008. Проверено 12 ноября, 2008.
  3. ^ "[1]. "NTLM мертв - 20 DefCon
  4. ^ "«Архивная копия» (PDF). Архивировано из оригинал (PDF) на 2011-11-26. Получено 2012-01-26.CS1 maint: заархивированная копия как заголовок (ссылка на сайт). »Ошибки безопасности в протоколах действительно плохи!
  5. ^ Грин, Томас С. "Эксплойт подрывает безопасность WinNT / 2K." Реестр онлайн-издание, 19 апреля 2001 г. Проверено 20 августа 2005 г.

внешняя ссылка