Quando un host Windows espone SMB, espone spesso anche moltissime informazioni utili per un attaccante. Per questo è uno dei primi servizi controllati in qualsiasi attività di penetration testing.
Cos'è SMB
SMB (Server Message Block) è il protocollo Windows per condivisione file, stampanti e autenticazione di rete. Porte principali: 445/tcp e 139/tcp.
Cosa si può raccogliere
Anche senza credenziali, SMB può rivelare:
- hostname e nome dominio
- utenti e share
- policy password
- versione del sistema operativo
- configurazioni di sicurezza
Perché è così critico
In ambienti Active Directory, SMB è ovunque. Molte tecniche offensive dipendono direttamente da esso:
- pass-the-hash
- lateral movement
- remote execution
- credential dumping
- relay attacks (es. NTLM relay)
Errori comuni nelle infrastrutture
- SMBv1 ancora attivo
- share con permesso "Everyone" in lettura
- accessi guest abilitati
- file sensibili (credenziali, chiavi SSH, backup DB) su share interne
Queste configurazioni aumentano enormemente la superficie di attacco.
Approfondimenti
Per una guida tecnica più avanzata su tecniche offensive e difensive in ambienti Windows: SMB Enumeration su HackIta
Difese consigliate
- Disabilitare SMBv1
- Applicare least privilege sulle share
- Monitorare gli accessi SMB
- Segmentare la rete
- Patch regolari
- Audit periodico dei permessi
Articolo originariamente pubblicato su hackita.it
Top comments (0)