SMBRelay
SMBRelay и SMBRelay2 — это компьютерные программы , которые можно использовать для проведения SMB- атак «человек посередине» (mitm) на компьютерах под управлением Windows . Они были написаны сэром Дистиком из Cult of the Dead Cow (cDc) и выпущены 21 марта 2001 года на съезде @lantacon в Атланте , штат Джорджия . Спустя более чем семь лет после его выпуска Microsoft выпустила патч, исправляющий дыру, использованную SMBRelay. [ 1 ] [ 2 ] Это исправление устраняет уязвимость только тогда, когда SMB отражается обратно клиенту. Если оно будет перенаправлено на другой хост, уязвимость все равно может быть использована. [ 3 ] [ 4 ]
SMBRelay
[ редактировать ]SMBrelay получает соединение через 139 UDP порт и ретранслирует пакеты между клиентом и сервером подключающегося компьютера с Windows на порт 139 исходного компьютера. При необходимости он изменяет эти пакеты.
После подключения и аутентификации целевой клиент отключается, и SMBRelay привязывается к порту 139 по новому IP-адресу . Затем к этому адресу реле можно подключиться напрямую с помощью «net use \\192.1.1.1», а затем использовать все сетевые функции, встроенные в Windows. Программа ретранслирует весь трафик SMB, исключая согласование и аутентификацию. Пока целевой хост остается подключенным, пользователь может отключиться от этого виртуального IP-адреса и снова подключиться к нему .
SMBRelay собирает NTLM паролей хэши и записывает их в hashes.txt в формате, который L0phtCrack может использовать для последующего взлома.
Поскольку порт 139 является привилегированным портом и для его использования требуется доступ администратора , SMBRelay должен работать с учетной записью доступа администратора. Однако, поскольку порт 139 необходим для сеансов NetBIOS , его сложно заблокировать.
По словам сэра Дистика: «Проблема в том, что с маркетинговой точки зрения Microsoft хочет, чтобы их продукты имели как можно большую обратную совместимость ; но, продолжая использовать протоколы, у которых есть известные проблемы, они продолжают подвергать своих клиентов риску взлома. .. Это еще раз известные проблемы, которые существовали с самого первого дня существования этого протокола. Это не ошибка, а фундаментальный недостаток конструкции. Глупо предполагать, что никто не использовал этот метод для эксплуатации людей. две недели на написание SMBRelay». [ 5 ]
SMBRelay2
[ редактировать ]SMBRelay2 работает на уровне NetBIOS по любому протоколу, к которому привязан NetBIOS (например, NBF или NBT ). Он отличается от SMBrelay тем, что использует имена NetBIOS, а не IP-адреса.
SMBRelay2 также поддерживает посредника к третьему хосту. Однако он поддерживает одновременное прослушивание только одного имени.
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ « Бюллетень по безопасности Microsoft MS08-068 ». Бюллетень по безопасности Microsoft, 11 ноября 2008 г. Проверено 12 ноября 2008 г.
- ^ Фонтана, Джон. « Патч Microsoft закрывает 7-летнюю дыру в ОС, — говорит эксперт. Архивировано 2 апреля 2012 г. на Wayback Machine ». Network World , 12 ноября 2008 г. Проверено 12 ноября 2008 г.
- ^ " «NTLM мертв» (PDF) . Архивировано из оригинала (PDF) 18 октября 2012 г. ", Курт Груцмахер - Defcon 16
- ^ " «Ошибки безопасности в протоколах» (PDF) . 2010. Архивировано из оригинала (PDF) 26 ноября 2011 г. Проверено 26 января 2012 г. Ошибки безопасности в протоколах — это действительно плохо!
- ^ Грин, Томас К. « Эксплойт разрушает безопасность WinNT/2K ». Интернет-издание The Register , 19 апреля 2001 г. Проверено 20 августа 2005 г.
Внешние ссылки
[ редактировать ]- Атака SMB «Человек посередине», заархивировано 29 августа 2005 г. в Wayback Machine сэром Дистиком.
- Бюллетень по безопасности Symantec
- Как отключить аутентификацию LM в Windows NT — список затронутых операционных систем
- Ваше практическое руководство по проектированию безопасности в сетевых протоколах
- Расширенная защита аутентификации