SMBRelä

SMBRelay och SMBRelay2 är datorprogram som kan användas för att utföra SMB man-in-the-middle-attacker (mitm) på Windows -maskiner. De skrevs av Sir Dystic från CULT OF THE DEAD COW (cDc) och släpptes den 21 mars 2001 på @lantacon-kongressen i Atlanta , Georgia . Mer än sju år efter lanseringen släppte Microsoft en patch som fixade hålet som utnyttjades av SMBRelay. Denna korrigering åtgärdar bara sårbarheten när SMB reflekteras tillbaka till klienten. Om den vidarebefordras till en annan värd kan sårbarheten fortfarande utnyttjas.

SMBRelä

SMBrelay tar emot en anslutning på UDP- port 139 och vidarebefordrar paketen mellan klienten och servern på den anslutande Windows-maskinen till ursprungsdatorns port 139. Den modifierar dessa paket vid behov.

Efter anslutning och autentisering kopplas målets klient bort och SMBRelay binder till port 139 på en ny IP-adress . Denna reläadress kan sedan kopplas till direkt med "nätanvändning \\192.1.1.1" och sedan användas av alla nätverksfunktioner inbyggda i Windows. Programmet vidarebefordrar all SMB-trafik, exklusive förhandling och autentisering. Så länge målvärden förblir ansluten kan användaren koppla från och återansluta till denna virtuella IP .

SMBRelay samlar in NTLM- lösenords- hasharna och skriver dem till hashes.txt i ett format som kan användas av L0phtCrack för att spricka vid ett senare tillfälle.

Eftersom port 139 är en privilegierad port och kräver administratörsåtkomst för användning, måste SMBRelay köras som ett administratörsåtkomstkonto. Men eftersom port 139 behövs för NetBIOS- sessioner är det svårt att blockera.

Enligt Sir Dystic, "Problemet är att ur marknadsföringssynpunkt vill Microsoft att deras produkter ska ha så mycket bakåtkompatibilitet som möjligt, men genom att fortsätta använda protokoll som har kända problem, fortsätter de att lämna sina kunder i riskzonen för exploatering. .. Det här är återigen kända problem som har funnits sedan dag ett av detta protokoll. Det här är inte en bugg utan ett grundläggande designfel. Att anta att ingen har använt den här metoden för att utnyttja människor är dumt; det tog mig mindre än två veckor att skriva SMBRelay."

SMBRelay2

SMBRelay2 fungerar på NetBIOS-nivå över alla protokoll som NetBIOS är bundet till (som NBF eller NBT ). Det skiljer sig från SMBrelay genom att det använder NetBIOS-namn snarare än IP-adresser.

SMBRelay2 stöder också man-in-the-middling till en tredje värd. Det stöder dock bara att lyssna på ett namn åt gången.

Se även

Skicka hash

externa länkar

SMB Man-In-the-Middle Attack av Sir Dystic
Symantecs säkerhetsbulletin
Så här inaktiverar du LM-autentisering på Windows NT - listar påverkade operativsystem
Din fältguide för att designa säkerhet i nätverksprotokoll
Utökat skydd för autentisering

Kult av den döda kon
människor	Stormästare Ratte' Oxblood Ruffin Dildog Mudge Lord Digital Blandare Sir Dystic Psykedelisk krigsherre
Verktyg	Ryggöppning Back Orifice 2000 NB Namn SMBRelä xB webbläsare
Relaterade artiklar	Hacktivismo Licensavtal för Hacktivismo Enhanced-Source Software Demon Roach Underground HoHoCon
Associerade organisationer	L0pht Mindvox Legion of Doom Bedrägeriernas mästare YIPL/TAP Övergångens sakrament ACiD-produktioner Soulz på noll