SMBRelay - SMBRelay
SMBRelay ve SMBRelay2 vardır bilgisayar programları gerçekleştirmek için kullanılabilir SMB ortadaki adam (mitm) saldırıları açık pencereler makineler. Tarafından yazılmıştır Efendim Dystic nın-nin ÖLÜ İNEK KÜLTÜRÜ (cDc) ve 21 Mart 2001'de @lantacon kongre Atlanta, Gürcistan. Microsoft, piyasaya sürülmesinden yedi yıldan fazla bir süre sonra, SMBRelay tarafından kötüye kullanılan deliği düzelten bir yama yayınladı.[1][2] Bu düzeltme, yalnızca SMB istemciye geri yansıtıldığında güvenlik açığını düzeltir. Başka bir ana bilgisayara iletilirse, güvenlik açığından yine de yararlanılabilir.[3][4]
SMBRelay
SMBrelay bir bağlantı alır UDP Liman 139 ve bağlanan Windows makinesinin istemcisi ve sunucusu arasındaki paketleri, kaynak bilgisayarın 139 numaralı bağlantı noktasına aktarır. Gerektiğinde bu paketleri değiştirir.
Bağlandıktan ve kimlik doğrulamasından sonra, hedefin istemcisinin bağlantısı kesilir ve SMBRelay, yeni bir cihazda 139 numaralı bağlantı noktasına bağlanır. IP adresi. Bu röle adresi daha sonra "net use 192.1.1.1" kullanılarak doğrudan bağlanabilir ve ardından Windows'ta yerleşik olarak bulunan tüm ağ işlevleri tarafından kullanılabilir. Program, görüşme ve kimlik doğrulama hariç tüm SMB trafiğini aktarır. Hedef ana bilgisayar bağlı kaldığı sürece, kullanıcı bununla bağlantısını kesebilir ve yeniden bağlanabilir sanal IP.
SMBRelay toplar NTLM parola karmalar ve bunları kullanabileceği bir biçimde hashes.txt dosyasına yazar. L0phtCrack daha sonra çatlamak için.
139 numaralı bağlantı noktası ayrıcalıklı bir bağlantı noktası olduğundan ve yönetici kullanım için SMBRelay bir yönetici erişim hesabı olarak çalıştırılmalıdır. Ancak, 139 numaralı bağlantı noktası NetBIOS seansları engellemek zordur.
Sir Dystic'e göre, "Sorun şu ki, pazarlama açısından Microsoft, ürünlerinin geriye dönük uyumluluk olabildiğince; ama bilinen sorunları olan protokolleri kullanmaya devam ederek, müşterilerini sömürü riskiyle karşı karşıya bırakmaya devam ediyorlar ... Bunlar, yine, bu protokolün ilk gününden beri var olan bilinen sorunlardır. Bu bir hata değil, temel bir tasarım hatasıdır. Bu yöntemi kimsenin insanları sömürmek için kullanmadığını varsaymak aptalca; SMBRelay'i yazmam iki haftadan kısa sürdü. " [5]
SMBRelay2
SMBRelay2 NetBIOS'un bağlı olduğu herhangi bir protokolde NetBIOS düzeyinde çalışır (örneğin NBF veya NBT ). IP adresleri yerine NetBIOS adlarını kullanması nedeniyle SMBrelay'den farklıdır.
SMBRelay2 ayrıca üçüncü bir ana bilgisayara ortadaki adamı destekler. Ancak, aynı anda yalnızca bir adı dinlemeyi destekler.
Ayrıca bakınız
Referanslar
- ^ "Microsoft Güvenlik Bülteni MS08-068. "Microsoft Güvenlik Bülteni, 11 Kasım 2008. Erişim tarihi: 12 Kasım 2008.
- ^ Fontana, John. "Uzman, Microsoft yaması 7 yıllık işletim sistemi deliğini kapatıyor Arşivlendi 2012-04-02 de Wayback Makinesi." Ağ Dünyası, 12 Kasım 2008. Erişim tarihi: 12 Kasım 2008.
- ^ "[1]. "NTLM Bitti - 20 DefCon
- ^ ""Arşivlenmiş kopya" (PDF). Arşivlenen orijinal (PDF) 2011-11-26 tarihinde. Alındı 2012-01-26.CS1 Maint: başlık olarak arşivlenmiş kopya (bağlantı). "Protokollerdeki Güvenlik Hataları Gerçekten Kötü!
- ^ Greene, Thomas C. "Exploit, WinNT / 2K güvenliğini mahvediyor." Kayıt çevrimiçi baskı, 19 Nisan 2001. Erişim tarihi: 20 Ağustos 2005.
Dış bağlantılar
- KOBİ Ortadaki Adam Saldırısı Sir Dystic tarafından
- Symantec Güvenlik Bülteni
- Windows NT'de LM kimlik doğrulaması nasıl devre dışı bırakılır - etkilenen işletim sistemlerini listeler
- Ağ Protokollerine Güvenlik Tasarlamak İçin Saha Kılavuzunuz
- Kimlik Doğrulaması için Genişletilmiş Koruma