Recentemente ho studiato il protocollo SMB per una migliore comprensione di esso mentre eseguivo il pentesting di Windows.
Per quanto riguarda SMBv1 e v2, in entrambi i casi la richiesta di installazione della sessione viene inviata utilizzando il ticket Kerberos per CIFS o NTLM. Una volta che il server autentica gli utenti, restituisce un UID (in SMBv1) o un ID sessione (in SMBv2).
La mia domanda è, nel caso in cui la firma SMB sia disabilitata e un utente malintenzionato annusi traffico SMB, non sarebbe in grado di dirottare una sessione SMB usando solo l'UID o l'ID sessione sniffato nelle proprie intestazioni SMB sul resto di SMB pacchetti?
Non è tutto questo simile al modo in cui un attacco Relay NTLM funziona, ma senza richiedere alla vittima di connettersi alla macchina che attacca?
Un po 'di luce sull'argomento sarebbe apprezzato.
Grazie e saluti.