SMB Enumeration: una delle fasi più importanti nel penetration testing

Canio — Wed, 13 May 2026 13:02:48 +0000

Quando un host Windows espone SMB, espone spesso anche moltissime informazioni utili per un attaccante. Per questo è uno dei primi servizi controllati in qualsiasi attività di penetration testing.

Cos'è SMB

SMB (Server Message Block) è il protocollo Windows per condivisione file, stampanti e autenticazione di rete. Porte principali: 445/tcp e 139/tcp.

Cosa si può raccogliere

Anche senza credenziali, SMB può rivelare:

hostname e nome dominio
utenti e share
policy password
versione del sistema operativo
configurazioni di sicurezza

Perché è così critico

In ambienti Active Directory, SMB è ovunque. Molte tecniche offensive dipendono direttamente da esso:

pass-the-hash
lateral movement
remote execution
credential dumping
relay attacks (es. NTLM relay)

Errori comuni nelle infrastrutture

SMBv1 ancora attivo
share con permesso "Everyone" in lettura
accessi guest abilitati
file sensibili (credenziali, chiavi SSH, backup DB) su share interne

Queste configurazioni aumentano enormemente la superficie di attacco.

Approfondimenti

Per una guida tecnica più avanzata su tecniche offensive e difensive in ambienti Windows: SMB Enumeration su HackIta

Difese consigliate

Disabilitare SMBv1
Applicare least privilege sulle share
Monitorare gli accessi SMB
Segmentare la rete
Patch regolari
Audit periodico dei permessi

Articolo originariamente pubblicato su hackita.it