Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 1177

Атака SMB Relay

ПроверилCybersecurity entrepreneur & security researcher

Что такое Атака SMB Relay?

Атака SMB RelayЧастный случай NTLM Relay: атакующий пересылает SMB-аутентификацию жертвы на другой SMB-сервер, чтобы получить исполнение кода или доступ к файлам от её имени.


Атаки SMB Relay злоупотребляют аутентификацией файлового доступа Windows, когда подпись SMB не является обязательной. Атакующий встаёт между узлом-жертвой и целевым сервером — часто отравляя разрешение имён с помощью Responder или принуждая жертву открыть вредоносный UNC-путь — и пересылает NTLM-аутентификацию жертвы целевому SMB-серверу, где подпись не требуется. Если переданная личность обладает правами локального администратора на цели, атакующий устанавливает сервис в стиле PsExec, создаёт запланированные задания или читает чувствительные шары от имени жертвы.

Атака восходит к раскрытию Cult of the Dead Cow в 2001 году и была знаменито продемонстрирована в Metasploit. Изначально атакующий мог ретранслировать учётные данные жертвы прямо обратно на исходный узел («отражение учётных данных»). Microsoft закрыла этот конкретный путь патчем MS08-068 в ноябре 2008 года, после чего служба SMB отвергает challenge, который распознаёт как только что выданный ею самой — поэтому с 2008 года необходимо ретранслировать на другую машину, а не на источник. Именно это ограничение объясняет, почему современный SMB Relay зависит от поиска второго узла (цели для латерального перемещения) и от отключённой на нём подписи. Уязвимость SMB-клиента 2025 года CVE-2025-33073 ненадолго возродила повышение привилегий в стиле отражения, прежде чем была исправлена, подчёркивая, насколько устойчива лежащая в основе слабость NTLM.

flowchart LR
  P[Отравление LLMNR/NBT-NS<br/>или принуждение к UNC-пути] --> V[Жертва отправляет NTLM-аутентификацию]
  V --> A[Ретрансляция атакующего<br/>smbrelayx / ntlmrelayx]
  A -->|ретрансляция на ДРУГОЙ узел<br/>подпись не обязательна| T[(Целевой SMB-сервер)]
  T -->|жертва — локальный админ| X[Установка сервиса / PsExec<br/>исполнение команд]
  T -->|иначе| R[Чтение чувствительных шар]
  S[Обязательная подпись SMB с обеих сторон] -.блокирует.-> A

Обязательная подпись SMB на клиентах и серверах — главная мера защиты; LDAPS, среды только с Kerberos и отключение NTLM ещё сильнее снижают подверженность атаке. Эталонные инструменты — smbrelayx и ntlmrelayx -t smb:// из Impacket.

Примеры

  1. 01

    Компрометация финансовой рабочей станции путём ретрансляции её NTLM-аутентификации на узел, где переиспользован тот же пароль администратора.

  2. 02

    Чтение зарплатных данных с файл-сервера без подписи после ретрансляции захваченного NTLMv2-хеша.

Частые вопросы

Что такое Атака SMB Relay?

Частный случай NTLM Relay: атакующий пересылает SMB-аутентификацию жертвы на другой SMB-сервер, чтобы получить исполнение кода или доступ к файлам от её имени. Относится к категории Атаки и угрозы в кибербезопасности.

Что означает Атака SMB Relay?

Частный случай NTLM Relay: атакующий пересылает SMB-аутентификацию жертвы на другой SMB-сервер, чтобы получить исполнение кода или доступ к файлам от её имени.

Как защититься от Атака SMB Relay?

Защита от Атака SMB Relay обычно сочетает технические меры и операционные практики, как описано в определении выше.

Какие есть другие названия Атака SMB Relay?

Распространённые альтернативные названия: SMB relaying, Cross-protocol SMB relay.

Связанные термины