SMBRelayとSMBRelay2は、 Windowsマシン上でSMB中間者攻撃(MITM)を実行するために利用可能なコンピュータプログラムです。これらはCult of the Dead Cow (cDc)のSir Dystic氏によって開発され、2001年3月21日にジョージア州アトランタで開催された@lantaconコンベンションで公開されました。公開から7年以上経った後、MicrosoftはSMBRelayによって悪用された脆弱性を修正するパッチをリリースしました。[1] [2]この修正プログラムは、SMBがクライアントにリフレクションバックされる場合にのみ脆弱性を修正します。SMBが別のホストに転送された場合、脆弱性は依然として悪用される可能性があります。[3] [4]
SMBリレー
SMBrelay はUDP ポート139で接続を受信し、接続元の Windows マシンのクライアントとサーバー間のパケットを、発信元コンピュータのポート 139 に中継します。必要に応じてこれらのパケットを変更します。
接続と認証が完了すると、ターゲットクライアントは切断され、SMBRelayは新しいIPアドレスのポート139にバインドされます。このリレーアドレスは、「net use \\192.1.1.1」を使用して直接接続でき、Windowsに組み込まれているすべてのネットワーク機能で使用できます。プログラムは、ネゴシエーションと認証を除くすべてのSMBトラフィックをリレーします。ターゲットホストが接続されている限り、ユーザーはこの仮想IPから切断して再接続できます。
SMBRelay はNTLMパスワードハッシュを収集し、後で L0phtCrackがクラッキングに使用できる形式で hashes.txt に書き込みます。
ポート139は特権ポートであり、使用するには管理者アクセスが必要であるため、SMBRelayは管理者アクセスアカウントで実行する必要があります。ただし、ポート139はNetBIOSセッションに必要なため、ブロックすることは困難です。
サー・ディスティック氏によると、「問題は、マーケティングの観点から、マイクロソフトは自社製品に可能な限りの下位互換性を持たせたいと考えていることです。しかし、既知の問題を抱えるプロトコルを使い続けることで、顧客を悪用されるリスクにさらし続けています。…これらは、このプロトコルの誕生当初から存在していた既知の問題です。これはバグではなく、根本的な設計上の欠陥です。誰もこの手法を使って悪用したことがないと考えるのは愚かです。SMBRelayの開発には2週間もかかりませんでした。」[5]
SMBリレー2
SMBRelay2は、NetBIOSがバインドされているあらゆるプロトコル( NBFやNBTなど)において、NetBIOSレベルで動作します。SMBRelayとは異なり、IPアドレスではなくNetBIOS名を使用します。
SMBRelay2 は、第3ホストへの中間者攻撃もサポートしています。ただし、一度にリッスンできるのは1つの名前のみです。
参照
参考文献
- ^ 「マイクロソフト セキュリティ情報 MS08-068」。マイクロソフト セキュリティ情報、2008 年 11 月 11 日。2008 年 11 月 12 日閲覧。
- ^ Fontana, John. 「Microsoftのパッチが7年前のOSの欠陥を解消、専門家が語る」2012年4月2日アーカイブ、Wayback Machine。Network World、2008年11月12日。2008年11月12日閲覧。
- ^ 「NTLMは死んだ」(PDF)。2012年10月18日時点のオリジナル(PDF)からアーカイブ。"、クルト・グルッツマッハー - デフコン 16
- ^ 「プロトコルのセキュリティバグ」(PDF) 。2010年。 2011年11月26日時点のオリジナル(PDF)からアーカイブ。 2012年1月26日閲覧。プロトコルのセキュリティバグは本当にひどいです!
- ^ Greene, Thomas C. 「Exploit devastates WinNT/2K security.」 The Registerオンライン版、2001年4月19日。2005年8月20日閲覧。
外部リンク
- SMB中間者攻撃は2005年8月29日にWayback MachineにSir Dysticによってアーカイブされました。
- シマンテックセキュリティ情報
- Windows NTでLM認証を無効にする方法 - 影響を受けるオペレーティングシステムの一覧
- ネットワークプロトコルのセキュリティ設計に関するフィールドガイド
- 認証の拡張保護
