Microsoft ha publicado esta semana un parche de seguridad, el MS08-068, que nos permite proteger nuestros sistemas contra para una antigua vulnerabilidad que permitía ataques de replay attack contra el mecanismo de autenticación NTLM.

Aprovechando este parche, vamos a publicar la herramienta smbrelay3, presentada en el congreso de Lacon el pasado mes de Septiembre y que permite realizar «replay attacks» contra múltiples protocolos como es el caso de SMB/HTTP/POP3/IMAP,..

El objetivo principal de Smbrelay3 es el de conseguir la ejecución de código, creando y ejecutando un servicio remoto que genera una bindshell.

El nuevo parche de Microsoft, dificulta en gran medida el ataque dado que evita que esta técnica se puede utilizar contra el mismo equipo que solicita la autenticación NTLM, haciendo blacklisting de los challenges de autenticación, sin embargo todavía existen varios vectores de ataque posibles.

Los principales son:

– Replay attack contra otros servidores miembros del dominio
– Replay attack combinando diferentes protocolos de comunicación

Si queréis mas información, podéis descargaros un paper sobre NTLM y SmbRelay3

La herramienta smbrelay3 está disponible en mi página web http://www.tarasco.org

Comentar por último que esta herramienta puede combinarse fácilmente con nuestro payload Generator para obtener resultados mas completos.