Recientemente estuve estudiando el protocolo SMB para comprenderlo mejor mientras realizo la prueba de entorno de Windows.
Con respecto a SMBv1 y v2, en ambos casos, la Solicitud de configuración de sesión se envía utilizando el ticket Kerberos para CIFS o NTLM. Una vez que el servidor autentica a los usuarios, devuelve un UID (en SMBv1) o una ID de sesión (en SMBv2).
Mi pregunta es, en caso de que la firma de SMB esté deshabilitada y un atacante detecte el tráfico de SMB, ¿no podría secuestrar una sesión de SMB simplemente usando el UID o el ID de sesión en sus propios encabezados de SMB en el resto de SMB? paquetes?
¿No es todo esto similar con la forma en que funciona un ataque de Relay NTLM, pero sin requerir que la víctima se conecte a la máquina atacante?
Se apreciaría un poco de luz al respecto.
Gracias y saludos.