Разработчиците на проекта Samba разкриха наскоро чрез съобщение до потребителите за откриването на уязвимост «ZeroLogin» в Windows (CVE-2020-1472) и това също е se се проявява в изпълнението от контролер на домейн базиран на Самба.
Уязвимост е причинено от недостатъци в протокола MS-NRPC и крипто алгоритъм AES-CFB8, и ако се използва успешно, позволява на нападателя да получи администраторски права на контролер на домейн.
Същността на уязвимостта е, че MS-NRPC (Netlogon Remote Protocol) позволява обмен на данни за удостоверяване прибягвайте до използване на RPC връзка без криптиране.
След това атакуващият може да използва недостатък в алгоритъма AES-CFB8, за да подправи (измами) успешно влизане. Изискват се приблизително 256 опита за подправяне за да влезете средно с права на администратор.
Атаката не изисква работещ акаунт на домейн контролера; Опитите за представяне под чужда самоличност могат да се правят с неправилна парола.
Заявката за удостоверяване на NTLM ще бъде пренасочена към контролера на домейна, който ще върне отказан достъп, но атакуващият може да измами този отговор и атакуваната система ще счита влизането за успешно.
Уязвимост на повишаване на привилегиите съществува, когато нападателят установи уязвима връзка със защитен канал Netlogon към контролер на домейн, използвайки Netlogon Remote Protocol (MS-NRPC). Нападателят, който успешно е използвал уязвимостта, може да стартира специално създадено приложение на мрежово устройство.
За да се използва уязвимостта, неупълномощен нападател ще трябва да използва MS-NRPC, за да се свърже с контролер на домейн, за да получи достъп до администратор на домейн.
В Самба, уязвимост се появява само в системи, които не използват настройката "server schannel = yes", което е по подразбиране от Samba 4.8.
По-специално системи с настройките "server schannel = no" и "server schannel = auto" могат да бъдат компрометирани, което позволява на Samba да използва същите недостатъци в алгоритъма AES-CFB8, както в Windows.
Когато използвате референтния прототип за експлойт на Windows, само извикването на ServerAuthenticate3 се задейства в Samba и операцията ServerPasswordSet2 се проваля (експлойтът изисква адаптация за Samba).
Ето защо разработчиците на Samba канят потребители, които са направили промяната в сървърен сканал = да на „не“ или „автоматично“, върнете се към настройката по подразбиране „да“ и по този начин избегнете проблема с уязвимостта.
Не се отчита нищо за изпълнението на алтернативни експлойти, въпреки че опитите за атака на системи могат да бъдат проследени чрез анализ на присъствието на записи със споменаването на ServerAuthenticate3 и ServerPasswordSet в регистрационните журнали на Samba.
Microsoft се занимава с уязвимостта при двуфазно внедряване. Тези актуализации адресират уязвимостта, като модифицират начина, по който Netlogon се справя с използването на защитени канали на Netlogon.
Когато втората фаза на актуализациите на Windows е налична през първото тримесечие на 2021 г., клиентите ще бъдат уведомени чрез кръпка за тази уязвимост в сигурността.
И накрая, за тези, които са потребители на предишни версии на samba, извършете съответната актуализация до най-новата стабилна версия на samba или изберете да приложите съответните кръпки, за да разрешите тази уязвимост.
Samba има известна защита за този проблем, тъй като от Samba 4.8 имаме стойност по подразбиране „server schannel = yes“.
Потребителите, които са променили това по подразбиране, са предупредени, че Samba изпълнява верно протокола AES на netlogon и по този начин попада в същия недостатък на дизайна на криптосистемата.
Доставчиците, които поддържат Samba 4.7 и по-стари версии, трябва да поправят своите инсталации и пакети, за да променят това по подразбиране.
Те НЕ са сигурни и се надяваме, че могат да доведат до пълен компромис на домейни, особено за AD домейни.
На последно място, ако се интересувате да научите повече за това за тази уязвимост можете да проверите съобщенията, направени от екипа на samba (в тази връзка) или също от Microsoft (тази връзка).