Ataque de SMB Relay
¿Qué es Ataque de SMB Relay?
Ataque de SMB RelayVariante especifica de NTLM relay en la que el atacante reenvia la autenticacion SMB de una victima a otro servidor SMB para ejecutar codigo o acceder a archivos con su identidad.
El SMB relay abusa de la autenticacion de compartidos de Windows cuando no se exige firma SMB. El atacante se interpone entre el host victima y un servidor objetivo, normalmente envenenando la resolucion de nombres con Responder o coaccionando a la victima a conectarse a una UNC maliciosa. La autenticacion NTLM de la victima se reenvia a un servidor SMB donde la firma no es obligatoria. Si la identidad reenviada tiene admin local en el destino, el atacante puede ejecutar comandos via instalacion de servicio tipo PsExec, programar tareas o leer compartidos sensibles. La mitigacion principal es exigir firma SMB en clientes y servidores; entornos solo Kerberos o LDAPS reducen aun mas la exposicion. Las herramientas de referencia son Impacket smbrelayx y ntlmrelayx con -t smb://.
● Ejemplos
- 01
Comprometer una estacion financiera reenviando su NTLM a otra donde se reutiliza la misma contrasena de admin local.
- 02
Leer datos de nominas en un servidor sin firma tras relayar un hash NTLMv2 capturado.
● Preguntas frecuentes
¿Qué es Ataque de SMB Relay?
Variante especifica de NTLM relay en la que el atacante reenvia la autenticacion SMB de una victima a otro servidor SMB para ejecutar codigo o acceder a archivos con su identidad. Pertenece a la categoría de Ataques y amenazas en ciberseguridad.
¿Qué significa Ataque de SMB Relay?
Variante especifica de NTLM relay en la que el atacante reenvia la autenticacion SMB de una victima a otro servidor SMB para ejecutar codigo o acceder a archivos con su identidad.
¿Cómo funciona Ataque de SMB Relay?
El SMB relay abusa de la autenticacion de compartidos de Windows cuando no se exige firma SMB. El atacante se interpone entre el host victima y un servidor objetivo, normalmente envenenando la resolucion de nombres con Responder o coaccionando a la victima a conectarse a una UNC maliciosa. La autenticacion NTLM de la victima se reenvia a un servidor SMB donde la firma no es obligatoria. Si la identidad reenviada tiene admin local en el destino, el atacante puede ejecutar comandos via instalacion de servicio tipo PsExec, programar tareas o leer compartidos sensibles. La mitigacion principal es exigir firma SMB en clientes y servidores; entornos solo Kerberos o LDAPS reducen aun mas la exposicion. Las herramientas de referencia son Impacket smbrelayx y ntlmrelayx con -t smb://.
¿Cómo defenderse de Ataque de SMB Relay?
Las defensas contra Ataque de SMB Relay combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Ataque de SMB Relay?
Nombres alternativos comunes: SMB relaying, Relay SMB entre protocolos.
● Términos relacionados
- attacks№ 746
Ataque de NTLM Relay
Ataque adversario en medio (MITRE T1557.001) en el que el atacante reenvia la autenticacion NTLM de una victima a otro servicio para suplantarla sin conocer la contrasena.
- attacks№ 620
Envenenamiento LLMNR
Tecnica adversario en medio (MITRE T1557.001) que abusa del protocolo Link-Local Multicast Name Resolution en UDP/5355 para redirigir a las victimas a hosts controlados por el atacante.
- attacks№ 715
Envenenamiento NBT-NS
Ataque adversario en medio que abusa del trafico heredado de NetBIOS Name Service en UDP/137 para falsificar respuestas de nombres y capturar autenticaciones NTLM.
- attacks№ 924
Ataque con Responder
Ataque que usa la herramienta Responder de Laurent Gaffie para envenenar LLMNR, NBT-NS y mDNS, levantar servidores falsos y capturar o reenviar credenciales NTLM en la red local.
- attacks№ 790
Pass-the-Hash
Ataque de reutilizacion de credenciales que autentica en sistemas Windows usando un hash NTLM robado en lugar de la contrasena en claro.