SMB / CIFS (uso compartido de archivos, entorno Windows)
Comprendo que cuando un cliente se conecta a un servidor, hay un sistema de desafío / respuesta implementado. Sin embargo, una vez que el cliente está conectado, se autentica la "conexión". En este punto, no podía un ataque de hombre en el medio (como) [o más bien un nivel de red] falsificar la IP de la sesión conectada y el puerto enviar comandos arbitrarios.
¿El servidor considera que el "IP: puerto" está autenticado o hay más?
Si la conexión no está encriptada, nada lo impide, solo la falta de un kit de herramientas genérico. Metasploit puede manejarlo como SMBRelay (nunca usado este último). Pero, por ejemplo, la carga útil de metasploit puede interceptar (retransmitir) la autenticación y luego ejecutar un código arbitrario en el servidor.
Puede que haya entendido mal tu pregunta. No tengo conocimiento de nada que modifique los archivos sobre la marcha, pero no veo por qué sería imposible.
Además, el cifrado solo ayudará aquí si el servidor está firmado; de lo contrario, el usuario no sabrá si se está conectando al servidor correcto o al servidor malintencionado.
Los paquetes SMB pueden ser firmado para evitar esto. Puede garantizar la seguridad configurando Windows para que requiera la firma (y quizás NTLMv2) usando la Política de grupo.
De forma predeterminada, Windows solo utiliza la firma para proteger la comunicación con el controlador de dominio.
Lea otras preguntas en las etiquetas network