Ataque de SMB Relay
O que é Ataque de SMB Relay?
Ataque de SMB RelayVariante especifica do NTLM relay em que o atacante encaminha a autenticacao SMB de uma vitima a outro servidor SMB para obter execucao de codigo ou acesso a arquivos como a vitima.
O SMB relay abusa da autenticacao de compartilhamento do Windows quando a assinatura SMB nao e obrigatoria. O atacante se coloca entre o host vitima e um servidor-alvo, geralmente envenenando a resolucao de nomes com Responder ou coagindo a vitima a se conectar a um caminho UNC malicioso. A autenticacao NTLM da vitima e entao relayada a um servidor SMB que nao exige assinatura. Se a identidade relayada tiver admin local no alvo, o atacante pode executar comandos via instalacao de servico tipo PsExec, agendar tarefas ou ler compartilhamentos sensiveis. A mitigacao principal e exigir assinatura SMB em clientes e servidores; ambientes somente Kerberos ou LDAPS reduzem ainda mais a exposicao. As ferramentas de referencia sao Impacket smbrelayx e ntlmrelayx com -t smb://.
● Exemplos
- 01
Comprometer uma estacao financeira relayando seu NTLM a outro host com a mesma senha de admin local.
- 02
Ler dados de folha de pagamento em um servidor sem assinatura apos relayar um hash NTLMv2.
● Perguntas frequentes
O que é Ataque de SMB Relay?
Variante especifica do NTLM relay em que o atacante encaminha a autenticacao SMB de uma vitima a outro servidor SMB para obter execucao de codigo ou acesso a arquivos como a vitima. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Ataque de SMB Relay?
Variante especifica do NTLM relay em que o atacante encaminha a autenticacao SMB de uma vitima a outro servidor SMB para obter execucao de codigo ou acesso a arquivos como a vitima.
Como funciona Ataque de SMB Relay?
O SMB relay abusa da autenticacao de compartilhamento do Windows quando a assinatura SMB nao e obrigatoria. O atacante se coloca entre o host vitima e um servidor-alvo, geralmente envenenando a resolucao de nomes com Responder ou coagindo a vitima a se conectar a um caminho UNC malicioso. A autenticacao NTLM da vitima e entao relayada a um servidor SMB que nao exige assinatura. Se a identidade relayada tiver admin local no alvo, o atacante pode executar comandos via instalacao de servico tipo PsExec, agendar tarefas ou ler compartilhamentos sensiveis. A mitigacao principal e exigir assinatura SMB em clientes e servidores; ambientes somente Kerberos ou LDAPS reduzem ainda mais a exposicao. As ferramentas de referencia sao Impacket smbrelayx e ntlmrelayx com -t smb://.
Como se defender contra Ataque de SMB Relay?
As defesas contra Ataque de SMB Relay costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Ataque de SMB Relay?
Nomes alternativos comuns: SMB relaying, Relay SMB cross-protocolo.
● Termos relacionados
- attacks№ 746
Ataque de NTLM Relay
Ataque adversary-in-the-middle (MITRE T1557.001) em que o atacante encaminha a autenticacao NTLM de uma vitima a outro servico para se passar por ela sem saber a senha.
- attacks№ 620
Envenenamento LLMNR
Tecnica adversary-in-the-middle (MITRE T1557.001) que abusa do protocolo Link-Local Multicast Name Resolution em UDP/5355 para redirecionar vitimas a hosts controlados pelo atacante.
- attacks№ 715
Envenenamento NBT-NS
Ataque adversary-in-the-middle que abusa do trafego legado do NetBIOS Name Service em UDP/137 para forjar respostas de nomes e capturar autenticacoes NTLM.
- attacks№ 924
Ataque com Responder
Ataque que usa o Responder de Laurent Gaffie para envenenar LLMNR, NBT-NS e mDNS, hospedar servicos de autenticacao falsos e capturar ou relayar credenciais NTLM em uma rede local.
- attacks№ 790
Pass-the-Hash
Ataque de reutilizacao de credenciais que se autentica em sistemas Windows usando um hash NTLM roubado em vez da senha em texto claro.