Un outil malicieux pour les environnements Microsoft : SMBRelay
Date : 11 Juillet 2005
SMBRelay est un outil, écrit par Sir Dystic du Cult of the Dead Cow (auteurs de Back Orifice), permettant d'effectuer des attaques de type " man in the middle " sur un réseau Microsoft afin de prendre la main sur des serveurs Microsoft en utilisant l'identité d'utilisateurs légitimes.
Rappel :
Lors d'une connexion réseau, les systèmes Windows fournissent par défaut leur authentification NTLM (via NetBIOS). Ainsi, un attaquant peut forcer une connexion NetBIOS entre son poste et celui de l'utilisateur pour essayer de récupérer les informations sur le compte de ce dernier (identifiant, mot de passe).
Par exemple en envoyant un e-mail contenant le texte " file://[Adresse IP]/dossier/page.html ", le destinataire cliquant sur le lien verra ses informations d'authentification envoyées à la machine pirate.
Principe de SMBRelay :
Le principe de SMBRelay est d'agir en tant que relais entre un utilisateur légitime et un serveur afin de récupérer les informations de ce dernier et de les rejouer sur le serveur NT/2000 cible (serveur auquel l'utilisateur a un accès légitime).
SMBRelay permet également de récolter les informations de connexion afin de les faire interpréter par un analyseur de mots de passe (LophtCrack par exemple).
Ainsi en dupant l'utilisateur sur l'identité d'un serveur NT/2000 b(ou en forçant une connexion), SMBRelay permet à un attaquant de prendre la main sur des serveurs (accès aux ressources partagées du serveur) auxquels l'utilisateur trompé a accès.
Schéma d'utilisation :
- L'utilisateur trompé/forcé (sic !) A se connecte au service SMBRelay sur un poste distant
- SMBRelay ouvre une connexion vers le serveur NT/2000 légitime S
- Authentification entre l'utilisateur A et SMBRelay
- Authentification en parallèle entre SMBRelay et le serveur S
- L'utilisateur A est authentifié auprès du serveur S
- Par conséquent, une connexion est établie entre SMBRelay et le serveur S (avec l'identité de A)
- Rupture de la connexion avec le client A
- Connexion de l'attaquant B via SMBRelay sur le serveur S (en utilisant toujours l'identité de A)
- L'attaquant a alors accès aux ressources de S auxquelles l'utilisateur A a droit.
Nota : SMBRelay s'appuie sur l'authentification de type LM (Lan Manager) entre l'utilisateur et le serveur (NTML). La version 2 de NTML (NTMLv2) disponible depuis le SP4 permet d'inhiber ce type d'authentification et de forcer l'authentification NT.
Protection :
- Les recommandations courantes en matière de sécurité sur des réseaux Microsoft conseillent de filtrer tout le trafic NetBIOS aux frontières des réseaux locaux afin d'empêcher des attaques de ce type.
- Mettre à jour les système Windows NT avec au minimum le Service Pack 4.
- Désactiver l'authentification de type Lan Manager (http://support.microsoft.com/support/kb/articles/Q147/7/06.asp )
Conclusion :
L'exploitation de SMBRelay est basée sur le fait que l'utilisateur légitime se connecte au poste hébergeant cet outil de manière forcée ou furtive. Il est à noter que SMBRelay s'appuie ensuite sur une conception classique d'une attaque de type " man in the middle " avec du relayage de données.
Pour plus d'information :
- NTLMv2 : http://www.win2000mag.com/Articles/Index.cfm?ArticleID=7072
- Article sur SMBRelay : http://pr0n.newhackcity.net/~sd/smbrelay.html
- Article de Windows Magazine : http://www.windowsitsecurity.com/Articles/Index.cfm?ArticleID=20845