Ataque de SMB Relay
O que é Ataque de SMB Relay?
Ataque de SMB RelayVariante especifica do NTLM relay em que o atacante encaminha a autenticacao SMB de uma vitima a outro servidor SMB para obter execucao de codigo ou acesso a arquivos como a vitima.
Os ataques de SMB relay abusam da autenticacao de compartilhamento de ficheiros do Windows quando a assinatura SMB nao e obrigatoria. O atacante posiciona-se entre um host vitima e um servidor-alvo, frequentemente envenenando a resolucao de nomes com o Responder ou coagindo a vitima a abrir um caminho UNC malicioso, e relaya a autenticacao NTLM da vitima a um servidor SMB-alvo onde a assinatura nao e exigida. Se a identidade relayada tiver direitos de admin local no alvo, o atacante instala um servico tipo PsExec, agenda tarefas ou le compartilhamentos sensiveis como a vitima.
O ataque remonta a uma divulgacao de 2001 do Cult of the Dead Cow e foi celebremente demonstrado pelo Metasploit. Originalmente um atacante podia relayar as credenciais de uma vitima diretamente de volta ao host de origem ("reflexao de credenciais"). A Microsoft fechou esse caminho especifico com o MS08-068 em novembro de 2008, apos o que o servico SMB rejeita um desafio que reconhece como um que acabou de emitir, pelo que desde 2008 e preciso relayar a uma maquina diferente da origem. Essa unica restricao e a razao pela qual o SMB relay moderno depende de encontrar um segundo host (alvo lateral) e de a assinatura estar desabilitada nele. A vulnerabilidade do cliente SMB de 2025 CVE-2025-33073 reviveu brevemente uma escalada de privilegios estilo reflexao antes de ser corrigida, sublinhando como a fraqueza subjacente do NTLM e persistente.
flowchart LR P[Envenenar LLMNR/NBT-NS<br/>ou coagir caminho UNC] --> V[Vitima envia auth NTLM] V --> A[Relay do atacante<br/>smbrelayx / ntlmrelayx] A -->|relayar a um host DIFERENTE<br/>assinatura nao obrigatoria| T[(Servidor SMB-alvo)] T -->|vitima e admin local| X[Instalacao de servico / PsExec<br/>execucao de comandos] T -->|caso contrario| R[Ler compartilhamentos sensiveis] S[Exigir assinatura SMB em ambos os lados] -.bloqueia.-> A
Exigir a assinatura SMB tanto em clientes como em servidores e a mitigacao principal; LDAPS, ambientes somente Kerberos e a desabilitacao do NTLM reduzem ainda mais a exposicao. As ferramentas de referencia sao o smbrelayx do Impacket e o ntlmrelayx -t smb://.
● Exemplos
- 01
Comprometer uma estacao financeira relayando seu NTLM a outro host com a mesma senha de admin local.
- 02
Ler dados de folha de pagamento em um servidor sem assinatura apos relayar um hash NTLMv2.
● Perguntas frequentes
O que é Ataque de SMB Relay?
Variante especifica do NTLM relay em que o atacante encaminha a autenticacao SMB de uma vitima a outro servidor SMB para obter execucao de codigo ou acesso a arquivos como a vitima. Pertence à categoria Ataques e ameaças da cibersegurança.
O que significa Ataque de SMB Relay?
Variante especifica do NTLM relay em que o atacante encaminha a autenticacao SMB de uma vitima a outro servidor SMB para obter execucao de codigo ou acesso a arquivos como a vitima.
Como se defender contra Ataque de SMB Relay?
As defesas contra Ataque de SMB Relay costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Ataque de SMB Relay?
Nomes alternativos comuns: SMB relaying, Cross-protocol SMB relay.