Attaque SMB Relay
Qu'est-ce que Attaque SMB Relay ?
Attaque SMB RelayVariante particuliere du NTLM relay ou un attaquant relaie l'authentification SMB d'une victime vers un autre serveur SMB pour obtenir une execution de code ou un acces aux fichiers en son nom.
Le SMB relay exploite l'authentification du partage Windows lorsque la signature SMB n'est pas obligatoire. L'attaquant se place entre la victime et un serveur cible, generalement en empoisonnant la resolution de noms avec Responder ou en forcant la victime a se connecter a un chemin UNC malicieux. L'authentification NTLM de la victime est ensuite relayee vers un serveur SMB qui n'exige pas la signature. Si l'identite relayee dispose des droits admin local sur la cible, l'attaquant peut executer des commandes via installation de service type PsExec, planifier des taches ou lire des partages sensibles. La principale mitigation est l'imposition de la signature SMB cote client et serveur ; un environnement Kerberos uniquement ou LDAPS reduit encore l'exposition. Les outils de reference sont Impacket smbrelayx et ntlmrelayx avec -t smb://.
● Exemples
- 01
Compromettre un poste financier en relayant son NTLM vers un pair ou le meme mot de passe admin local est reutilise.
- 02
Lire les donnees de paie d'un serveur non signant apres avoir relaye un hash NTLMv2 capture.
● Questions fréquentes
Qu'est-ce que Attaque SMB Relay ?
Variante particuliere du NTLM relay ou un attaquant relaie l'authentification SMB d'une victime vers un autre serveur SMB pour obtenir une execution de code ou un acces aux fichiers en son nom. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Attaque SMB Relay ?
Variante particuliere du NTLM relay ou un attaquant relaie l'authentification SMB d'une victime vers un autre serveur SMB pour obtenir une execution de code ou un acces aux fichiers en son nom.
Comment fonctionne Attaque SMB Relay ?
Le SMB relay exploite l'authentification du partage Windows lorsque la signature SMB n'est pas obligatoire. L'attaquant se place entre la victime et un serveur cible, generalement en empoisonnant la resolution de noms avec Responder ou en forcant la victime a se connecter a un chemin UNC malicieux. L'authentification NTLM de la victime est ensuite relayee vers un serveur SMB qui n'exige pas la signature. Si l'identite relayee dispose des droits admin local sur la cible, l'attaquant peut executer des commandes via installation de service type PsExec, planifier des taches ou lire des partages sensibles. La principale mitigation est l'imposition de la signature SMB cote client et serveur ; un environnement Kerberos uniquement ou LDAPS reduit encore l'exposition. Les outils de reference sont Impacket smbrelayx et ntlmrelayx avec -t smb://.
Comment se défendre contre Attaque SMB Relay ?
Les défenses contre Attaque SMB Relay combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Attaque SMB Relay ?
Noms alternatifs courants : SMB relaying, Relay SMB inter-protocole.
● Termes liés
- attacks№ 746
Attaque NTLM Relay
Attaque de l'homme du milieu (MITRE T1557.001) ou un attaquant relaie l'authentification NTLM d'une victime vers un autre service pour usurper son identite sans connaitre son mot de passe.
- attacks№ 620
Empoisonnement LLMNR
Technique d'adversary-in-the-middle (MITRE T1557.001) qui abuse du protocole Link-Local Multicast Name Resolution sur UDP/5355 pour rediriger les victimes vers des hotes controles par l'attaquant.
- attacks№ 715
Empoisonnement NBT-NS
Attaque d'adversary-in-the-middle qui abuse du trafic legacy NetBIOS Name Service sur UDP/137 pour falsifier les reponses de noms et collecter des authentifications NTLM.
- attacks№ 924
Attaque Responder
Attaque utilisant l'outil Responder de Laurent Gaffie pour empoisonner LLMNR, NBT-NS et mDNS, heberger des services d'authentification factices et capturer ou relayer des identifiants NTLM sur un reseau local.
- attacks№ 790
Pass-the-Hash
Attaque par reutilisation d'identifiants qui s'authentifie sur des systemes Windows en utilisant un hash NTLM derobe a la place du mot de passe en clair.