SMB-Relay-Angriff
Was ist SMB-Relay-Angriff?
SMB-Relay-AngriffSpezialfall des NTLM-Relays, bei dem ein Angreifer die SMB-Authentifizierung eines Opfers an einen anderen SMB-Server weiterleitet, um in dessen Namen Code auszufuehren oder Dateien zu lesen.
Ein SMB-Relay missbraucht die Authentifizierung von Windows-Dateifreigaben, wenn SMB-Signing nicht erzwungen ist. Der Angreifer positioniert sich zwischen Opfer-Host und Zielserver, oft durch Vergiften der Namensaufloesung mit Responder oder durch Coercion auf einen schadhaften UNC-Pfad. Die NTLM-Authentifizierung des Opfers wird an einen SMB-Server weitergeleitet, der kein Signing verlangt. Hat die relayte Identitaet lokale Admin-Rechte auf dem Ziel, kann der Angreifer ueber eine PsExec-aehnliche Service-Installation Befehle ausfuehren, Tasks anlegen oder sensible Shares lesen. Die zentrale Gegenmassnahme ist erzwungenes SMB-Signing auf Clients und Servern; reine Kerberos- oder LDAPS-Umgebungen reduzieren das Risiko weiter. Standard-Werkzeuge sind Impacket smbrelayx und ntlmrelayx mit -t smb://.
● Beispiele
- 01
Kompromittierung einer Finanz-Workstation durch Relay ihres NTLM zu einem Peer, auf dem dasselbe Admin-Passwort wiederverwendet wird.
- 02
Auslesen von Gehaltsdaten von einem nicht-signierenden Dateiserver nach Relay eines NTLMv2-Hashes.
● Häufige Fragen
Was ist SMB-Relay-Angriff?
Spezialfall des NTLM-Relays, bei dem ein Angreifer die SMB-Authentifizierung eines Opfers an einen anderen SMB-Server weiterleitet, um in dessen Namen Code auszufuehren oder Dateien zu lesen. Es gehört zur Kategorie Angriffe und Bedrohungen der Cybersicherheit.
Was bedeutet SMB-Relay-Angriff?
Spezialfall des NTLM-Relays, bei dem ein Angreifer die SMB-Authentifizierung eines Opfers an einen anderen SMB-Server weiterleitet, um in dessen Namen Code auszufuehren oder Dateien zu lesen.
Wie funktioniert SMB-Relay-Angriff?
Ein SMB-Relay missbraucht die Authentifizierung von Windows-Dateifreigaben, wenn SMB-Signing nicht erzwungen ist. Der Angreifer positioniert sich zwischen Opfer-Host und Zielserver, oft durch Vergiften der Namensaufloesung mit Responder oder durch Coercion auf einen schadhaften UNC-Pfad. Die NTLM-Authentifizierung des Opfers wird an einen SMB-Server weitergeleitet, der kein Signing verlangt. Hat die relayte Identitaet lokale Admin-Rechte auf dem Ziel, kann der Angreifer ueber eine PsExec-aehnliche Service-Installation Befehle ausfuehren, Tasks anlegen oder sensible Shares lesen. Die zentrale Gegenmassnahme ist erzwungenes SMB-Signing auf Clients und Servern; reine Kerberos- oder LDAPS-Umgebungen reduzieren das Risiko weiter. Standard-Werkzeuge sind Impacket smbrelayx und ntlmrelayx mit -t smb://.
Wie schützt man sich gegen SMB-Relay-Angriff?
Schutzmaßnahmen gegen SMB-Relay-Angriff kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für SMB-Relay-Angriff?
Übliche alternative Bezeichnungen: SMB-Relaying, Cross-Protocol-SMB-Relay.
● Verwandte Begriffe
- attacks№ 746
NTLM-Relay-Angriff
Adversary-in-the-Middle-Angriff (MITRE T1557.001), bei dem ein Angreifer die NTLM-Authentifizierung eines Opfers an einen anderen Dienst weiterleitet, um es ohne Passwortkenntnis zu impersonieren.
- attacks№ 620
LLMNR-Poisoning
Adversary-in-the-Middle-Technik (MITRE T1557.001), die das Link-Local Multicast Name Resolution-Protokoll auf UDP/5355 missbraucht, um Opfer auf vom Angreifer kontrollierte Hosts umzuleiten.
- attacks№ 715
NBT-NS-Poisoning
Adversary-in-the-Middle-Angriff, der den legacy NetBIOS-Name-Service-Verkehr auf UDP/137 missbraucht, um Namensantworten zu faelschen und NTLM-Authentifizierungen abzufangen.
- attacks№ 924
Responder-Angriff
Angriff mit Laurent Gaffies Tool Responder, das LLMNR, NBT-NS und mDNS vergiftet, falsche Authentifizierungsdienste betreibt und im lokalen Netz NTLM-Credentials abgreift oder weiterleitet.
- attacks№ 790
Pass-the-Hash
Credential-Reuse-Angriff, der sich an Windows-Systemen mit einem gestohlenen NTLM-Hash anstelle des Klartextpassworts anmeldet.