SMBetray: una herramienta para interceptar y modificar las conexiones SMB inseguras

Escrito por Rubén Velasco

SMB/CIFS es un protocolo desarrollado por Microsoft para permitirnos compartir fácilmente archivos, impresoras y otros recursos a través de la red con otros equipos conectados a la misma. Este protocolo, aunque es muy sencillo de utilizar y apenas requiere configuraciones, la verdad es que es un protocolo bastante inseguro, especialmente en sus versiones más antiguas, por lo que, además de no se recomienda utilizar SMB en WAN, incluso cuando lo utilicemos en local debemos extremar las precauciones, ya que la seguridad de este protocolo se puede poner fácilmente en entredicho utilizando herramientas como SMBetray.

Cuando se establece una conexión a través del protocolo SMB, los sistemas de seguridad utilizados para preservar la integridad del tráfico son el cifrado de los datos y la firma de los paquetes SMB. La firma de las conexiones se crea en función de una serie de datos de la sesión, así como con la contraseña. Por ello, si conocemos la contraseña del servidor es posible recrear esta firma digital y, por lo tanto, se podrían modificar sin muchos problemas los paquetes para que, de cara al cliente y el servidor, parezcan legítimos. Además, el cifrado y la firma de las conexiones suele estar desactivado por defecto en las conexiones, por lo que el proceso de capturar y modificar los paquetes a menudo suele ser mucho más sencillo.

SMBetray; así de fácil es poner en peligro las conexiones SMB entre dos ordenadores

SMBetray es una nueva herramienta de seguridad, gratuita y de código abierto, creada para demostrar con qué facilidad un atacante podría interceptar y modificar las conexiones SMB inseguras, así como modificar prácticamente cualquier conexión SMB si conocemos los credenciales de la misma. Esta herramienta busca demostrar con qué facilidad puede hacerse un ataque MiTM a una conexión SMB para poderla en peligro y poder atacar a un cliente a través de archivos maliciosos que se inyecten en las conexiones.

Las principales características de SMBetray son:

  • Descargar automáticamente cualquier archivo transmitido a través de la red sin ningún tipo de cifrado.
  • Fuerza el uso de NTLMv2 en vez de Kerberos.
  • Inyecta archivos en los directorios del cliente.
  • Reemplaza archivos y ejecutables para que se ejecuten otros diferentes cuando se ejecutan a través de la red.
  • Reemplaza igualmente archivos con extensiones determinadas y sensibles a las mayúsculas por otros.

A continuación, sus desarrolladores nos muestran dos vídeos de cómo funciona esta herramienta y cómo se puede utilizar para exponer conexiones, tanto SMB sin seguridad como con las conexiones firmadas.

Podemos conocer más sobre esta herramienta, cómo funciona y la inseguridad del protocolo SMB en su página web.

¿Qué te parece esta herramienta? ¿Crees que Microsoft debería volver a replantearse la seguridad de su protocolo?