SMB / CIFS (condivisione file, ambiente Windows)
Capisco che quando un client si connette a un server esiste un sistema di sfida / risposta in atto. Tuttavia, una volta collegato il client, la "connessione" viene autenticata. A questo punto, non è possibile che un man-in-the-middle (come) [o piuttosto un livello di rete] attacchi lo spoofing dell'IP della sessione connessa e la porta invii comandi arbitrari.
Il server considera "IP: port" autenticato, o c'è dell'altro?
Se la connessione non è crittografata, nulla impedisce questo, solo una mancanza di toolkit generico. Metasploit può gestirlo come può SMBRelay (mai usato quest'ultimo). Ad esempio, il carico utile di metasploit può intercettare (inoltrare) l'autenticazione, quindi eseguire codice arbitrario sul server.
Forse ho frainteso la tua domanda. Non sono a conoscenza di qualcosa che modifica i file al volo, ma non vedo perché sarebbe impossibile.
In aggiunta: la crittografia aiuterà solo qui se il server è firmato, altrimenti l'utente non sarà a conoscenza se si connettono al server corretto o malizioso.
I pacchetti SMB possono essere firmato per impedirlo. È possibile garantire la sicurezza configurando Windows per richiedere la firma (e forse NTLMv2) utilizzando i Criteri di gruppo.
Per impostazione predefinita, Windows utilizza solo la firma per proteggere la comunicazione con il controller di dominio.
Leggi altre domande sui tag network