SMBRelay y SMBRelay2 son programas informáticos que se pueden utilizar para llevar a cabo ataques SMB man-in-the-middle (mitm) en máquinas con Windows . Fueron escritos por Sir Dystic de CULT OF THE DEAD COW (cDc) y publicados el 21 de marzo de 2001 en la convención @lantacon en Atlanta , Georgia . Más de siete años después de su lanzamiento, Microsoft lanzó un parche que solucionó el agujero explotado por SMBRelay. [1] [2]Esta solución solo corrige la vulnerabilidad cuando el SMB se refleja en el cliente. Si se reenvía a otro host, la vulnerabilidad aún se puede aprovechar. [3] [4]
SMBrelay recibe una conexión en el puerto UDP 139 y transmite los paquetes entre el cliente y el servidor de la máquina Windows que se conecta al puerto 139 de la computadora de origen. Modifica estos paquetes cuando es necesario.
Después de conectarse y autenticarse, el cliente del objetivo se desconecta y SMBRelay se une al puerto 139 en una nueva dirección IP . Esta dirección de retransmisión se puede conectar directamente usando "net use \\ 192.1.1.1" y luego ser utilizada por todas las funciones de red integradas en Windows. El programa transmite todo el tráfico SMB, excluyendo la negociación y la autenticación. Mientras el host de destino permanezca conectado, el usuario puede desconectarse y volver a conectarse a esta IP virtual .
SMBRelay recopila los hashes de contraseñas NTLM y los escribe en hashes.txt en un formato utilizable por L0phtCrack para descifrarlos posteriormente.
Como el puerto 139 es un puerto privilegiado y requiere acceso de administrador para su uso, SMBRelay debe ejecutarse como una cuenta de acceso de administrador. Sin embargo, dado que el puerto 139 es necesario para las sesiones NetBIOS , es difícil bloquearlo.
Según Sir Dystic, "el problema es que desde un punto de vista de marketing, Microsoft quiere que sus productos tengan la mayor compatibilidad con versiones anteriores posible; pero al continuar usando protocolos que tienen problemas conocidos, continúan dejando a sus clientes en riesgo de explotación. .. Estos son, una vez más, problemas conocidos que han existido desde el primer día de este protocolo. Esto no es un error, sino una falla de diseño fundamental. Asumir que nadie ha usado este método para explotar a las personas es una tontería; me tomó menos de dos semanas para escribir SMBRelay ". [5]