Атака SMB Relay
Что такое Атака SMB Relay?
Атака SMB RelayЧастный случай NTLM Relay: атакующий пересылает SMB-аутентификацию жертвы на другой SMB-сервер, чтобы получить исполнение кода или доступ к файлам от её имени.
Атаки SMB Relay злоупотребляют аутентификацией файлового доступа Windows, когда подпись SMB не является обязательной. Атакующий встаёт между узлом-жертвой и целевым сервером — часто отравляя разрешение имён с помощью Responder или принуждая жертву открыть вредоносный UNC-путь — и пересылает NTLM-аутентификацию жертвы целевому SMB-серверу, где подпись не требуется. Если переданная личность обладает правами локального администратора на цели, атакующий устанавливает сервис в стиле PsExec, создаёт запланированные задания или читает чувствительные шары от имени жертвы.
Атака восходит к раскрытию Cult of the Dead Cow в 2001 году и была знаменито продемонстрирована в Metasploit. Изначально атакующий мог ретранслировать учётные данные жертвы прямо обратно на исходный узел («отражение учётных данных»). Microsoft закрыла этот конкретный путь патчем MS08-068 в ноябре 2008 года, после чего служба SMB отвергает challenge, который распознаёт как только что выданный ею самой — поэтому с 2008 года необходимо ретранслировать на другую машину, а не на источник. Именно это ограничение объясняет, почему современный SMB Relay зависит от поиска второго узла (цели для латерального перемещения) и от отключённой на нём подписи. Уязвимость SMB-клиента 2025 года CVE-2025-33073 ненадолго возродила повышение привилегий в стиле отражения, прежде чем была исправлена, подчёркивая, насколько устойчива лежащая в основе слабость NTLM.
flowchart LR P[Отравление LLMNR/NBT-NS<br/>или принуждение к UNC-пути] --> V[Жертва отправляет NTLM-аутентификацию] V --> A[Ретрансляция атакующего<br/>smbrelayx / ntlmrelayx] A -->|ретрансляция на ДРУГОЙ узел<br/>подпись не обязательна| T[(Целевой SMB-сервер)] T -->|жертва — локальный админ| X[Установка сервиса / PsExec<br/>исполнение команд] T -->|иначе| R[Чтение чувствительных шар] S[Обязательная подпись SMB с обеих сторон] -.блокирует.-> A
Обязательная подпись SMB на клиентах и серверах — главная мера защиты; LDAPS, среды только с Kerberos и отключение NTLM ещё сильнее снижают подверженность атаке. Эталонные инструменты — smbrelayx и ntlmrelayx -t smb:// из Impacket.
● Примеры
- 01
Компрометация финансовой рабочей станции путём ретрансляции её NTLM-аутентификации на узел, где переиспользован тот же пароль администратора.
- 02
Чтение зарплатных данных с файл-сервера без подписи после ретрансляции захваченного NTLMv2-хеша.
● Частые вопросы
Что такое Атака SMB Relay?
Частный случай NTLM Relay: атакующий пересылает SMB-аутентификацию жертвы на другой SMB-сервер, чтобы получить исполнение кода или доступ к файлам от её имени. Относится к категории Атаки и угрозы в кибербезопасности.
Что означает Атака SMB Relay?
Частный случай NTLM Relay: атакующий пересылает SMB-аутентификацию жертвы на другой SMB-сервер, чтобы получить исполнение кода или доступ к файлам от её имени.
Как защититься от Атака SMB Relay?
Защита от Атака SMB Relay обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Атака SMB Relay?
Распространённые альтернативные названия: SMB relaying, Cross-protocol SMB relay.