SMBRelay, un outil d'attaque bien connu des pentesters de réseaux Windows, a été publié en mars 2001 par Sir Dystic du fameux Cult of the Dead Cow. Il permet de capturer et réutiliser les éléments d'authentification d'un utilisateur venant se connecter chez vous pour vous authentifier chez lui. Sachant que les machines mises en jeu peuvent n'en être qu'une seule, conduisant à une méthode d'escalade de privilèges pour le moins intéressante. Une attaque miroir en quelque sorte, avec des idées similaires au pass-the-hash. C'est extrêmement efficace et c'est donc resté sans véritable réponse pendant près de sept ans et demi. Seulement ? Non, bien plus en fait...

Car comme le montre Chris Wysopal, c'est beaucoup plus long que cela. Dildog avait en effet utilisé ce principe pour voler des éléments d'authentification d'utilisateur en déclenchant des sessions telnet de la cible vers la machine de l'attaquant. Il avait présenté rapidement ces résultats à la Defcon. Tout cela date de 2000. Mais il n'était pas le premier sur le coup. Dès 1996, Dominique Brezinski publiait exactement la même chose dans un papier intitulé "A Weakness in CIFS Authentication" et présentait ces résultats à Black Hat l'année suivante.

Depuis la première mouture de SMBRelay, cette vulnérabilité a été redécouverte et améliorée par deux iraniens, a été intégrée dans le framework Metasploit en juillet 2007. Enfin, un SMBRelay3 a vu le jour cette année, avec le support des authentifications HTTP.

On se la rejoue timeline ? Allez, pour la route :

  • 1996 - Dominique Brezinski publie "A Weakness in CIFS Authentication" ;
  • 1997 - Dominique Brezinski présente à Black Hat ;
  • 2000 - Dildog exploite la faille pour récupérer des idenfiants à partir d'un telnet, présente à Defcon et publie ;
  • 2001 - Sir Dystic publie SMBRelay.
  • 2003 - Salman Niksefat et Haamed Gheibi redécouvrent la faille ;
  • 2007 - Intégration dans Metasploit
  • 2008 - Sortie de SMBRelay3 et patch en novembre...

On est en droit de se demander ce qui peut justifier ces quelques douze ans d'attente, ou tout au moins les sept qui séparent la publication d'un outil qui fait vraiment mal d'une correction. Le MSRC répond qu'il s'agit essentiellement d'un problème protocolaire. Encore un cas qui illustre l'effet parfois, voire souvent, dévastateur de la compatibilité ascendante si chère à Microsoft, mais qui leur rend la vie si dure quand il s'agit de combler les failles de protocoles antédiluviens, en particulier tout ce qui touche aux authentifications. Il n'y a qu'à voir : fin 2008, on parle encore de SMBRelay, de Pass-The-Hash et de Rainbow Tables...