مؤخرا تم إصدار تحديثات حزمة الإصلاح للعديد من إصدارات Samba ، التي كانت الإصدارات 4.15.2 و 4.14.10 و 4.13.14، قاموا بتنفيذ تغييرات تشمل القضاء على 8 نقاط ضعف ، والتي يمكن أن يؤدي معظمها إلى حل وسط كامل لمجال Active Directory.
وتجدر الإشارة إلى أنه تم إصلاح إحدى المشكلات في عام 2016 ، وخمسة ، اعتبارًا من عام 2020 ، على الرغم من أن إصلاحًا واحدًا أدى إلى عدم القدرة على تشغيل winbindd في إعدادات التواجد «السماح بالمجالات الموثوقة = لا»(يعتزم المطورون إصدار تحديث آخر على الفور للإصلاح).
يمكن أن تكون هذه الوظائف خطيرة للغاية في الأيدي الخطأ ، كما يفعل المستخدم qكل من ينشئ مثل هذه الحسابات لديه امتيازات واسعة ليس فقط لإنشائها وتعيين كلمات المرور الخاصة بهم ، ولكن لإعادة تسميتها في وقت لاحق باستخدام القيد الوحيد هو أنها قد لا تتطابق مع samAccountName موجود.
عندما يعمل Samba كعضو في مجال AD ويقبل بطاقة Kerberos ، يجب عليه ذلك قم بتعيين المعلومات الموجودة هناك إلى معرف مستخدم UNIX محلي (uid). هذه يتم حاليًا عبر اسم الحساب في Active Directory تم إنشاء شهادة سمة Kerberos Privileged (PAC) ، أو ملف اسم الحساب على التذكرة (إذا لم يكن هناك PAC).
على سبيل المثال ، سيحاول Samba العثور على مستخدم "المجال \ المستخدم" من قبل اللجوء إلى محاولة العثور على المستخدم "المستخدم". إذا كان البحث عن المجال \ المستخدم يمكن أن يفشل ، ثم امتياز التسلق ممكن.
بالنسبة لأولئك الذين ليسوا على دراية بـ Samba ، يجب أن تعلم أن هذا مشروع يستمر في تطوير فرع Samba 4.x مع التنفيذ الكامل لوحدة تحكم المجال وخدمة Active Directory ، المتوافقة مع تطبيق Windows 2000 وقادرة على خدمة جميع الإصدارات من عملاء Windows المدعومين من Microsoft ، بما في ذلك Windows 10.
سامبا 4 ، هو منتج خادم متعدد الوظائف ، والذي يوفر أيضًا تنفيذ خادم الملفات وخدمة الطباعة وخادم المصادقة (winbind).
من بين الثغرات الأمنية التي تم التخلص منها في التحديثات التي تم إصدارها ، تم ذكر ما يلي:
- CVE-2020-25717- نظرًا لوجود خلل في منطق تعيين مستخدمي المجال لمستخدمي النظام المحليين ، يمكن لمستخدم مجال Active Directory الذي لديه القدرة على إنشاء حسابات جديدة على نظامهم ، تدار من خلال ms-DS-MachineAccountQuota ، الوصول إلى الجذر للأنظمة الأخرى المدرجة في المجال.
- CVE-2021-3738- الوصول إلى منطقة الذاكرة التي تم تحريرها بالفعل (استخدمها بعد مجانًا) في تنفيذ خادم Samba AD DC RPC (dsdb) ، مما قد يؤدي إلى تصعيد الامتيازات عند معالجة إعدادات الاتصال.
CVE-2016-2124- يمكن تمرير اتصالات العميل التي تم إنشاؤها باستخدام بروتوكول SMB1 لإرسال معلمات المصادقة بنص عادي أو باستخدام NTLM (على سبيل المثال ، لتحديد بيانات الاعتماد لهجمات MITM) ، حتى إذا تم تكوين المستخدم أو التطبيق كمصادقة إلزامية من خلال Kerberos. - CVE-2020-25722- لم يتم إجراء فحوصات كافية للوصول إلى مساحة التخزين على وحدة تحكم مجال Active Directory المستندة إلى Samba ، مما يسمح لأي مستخدم بتجاوز بيانات الاعتماد وتعريض النطاق للخطر تمامًا.
- CVE-2020-25718- لم يتم عزل تذاكر Kerberos الصادرة عن RODC (وحدة تحكم المجال للقراءة فقط) بشكل صحيح إلى وحدة تحكم مجال Active Directory المستندة إلى Samba ، والتي يمكن استخدامها للحصول على تذاكر المسؤول من RODC دون الحصول على الصلاحية للقيام بذلك.
- CVE-2020-25719- لا تأخذ وحدة التحكم في مجال Active Directory المستندة إلى Samba دائمًا في الاعتبار حقول SID و PAC في تذاكر Kerberos في الحزمة (عند تعيين "gensec: need_pac = true" ، لم يتم أخذ الاسم و PAC فقط في الحساب) ، مما سمح للمستخدم ، الذي لديه الحق في إنشاء حسابات على النظام المحلي ، لانتحال شخصية مستخدم مجال آخر ، بما في ذلك مستخدم ذو امتياز.
- CVE-2020-25721: بالنسبة للمستخدمين الذين تمت مصادقتهم باستخدام Kerberos ، لم يتم إصدار معرفات فريدة لـ Active Directory (معرف الكائن) دائمًا ، مما قد يؤدي إلى التقاطعات بين المستخدم والمستخدم.
- CVE-2021-23192- أثناء هجوم MITM ، كان من الممكن محاكاة أجزاء من طلبات DCE / RPC الكبيرة التي تم تقسيمها إلى أجزاء متعددة.
أخيرًا ، إذا كنت مهتمًا بمعرفة المزيد عنها ، يمكنك الرجوع إلى التفاصيل في الرابط التالي.