fa poc es van llançar les actualitzacions de paquets correctius per a diverses versions Samba, les quals van ser les versions 4.15.2, 4.14.10 i 4.13.14, s'hi van implementar els canvis que inclouen l'eliminació de 8 vulnerabilitats, la majoria de les quals poden portar a un compromís complet del domini d'Active Directory.
Cal assenyalar que un dels problemes es va corregir el 2016, i cinc, a partir del 2020, encara que una correcció va provocar la impossibilitat d'executar winbindd a la configuració de presència «allow trusted domains=no» (els desenvolupadors tenen la intenció de publicar immediatament una altra actualització per reparar).
Aquestes funcions poden ser força perilloses a les mans equivocades, ja que l'usuari quien crea aquests comptes té amplis privilegis per no només crear-los i establir les vostres contrasenyes, però per canviar-los el nom en un moment posterior amb l'única restricció és que poden no coincidir amb un samAccountName existent.
Quan Samba actua com a membre del domini AD accepta un tiquet de Kerberos, deu mapejar la informació que hi ha a un ID d'usuari d'UNIX local (uid). Aquesta es realitza actualment a través del nom del compte a Active Directory Certificat d'atribut privilegiat de Kerberos (PAC) generat, o el nom del compte al tiquet (si no hi ha PAC).
Per exemple, Samba intentarà trobar un usuari «DOMINI \ usuari» abans recorrent a intentar trobar lusuari «usuari». Si la cerca de DOMINI \ usuari pot fallar, llavors un privilegi l'escalada és possible.
Per als qui desconeixen de Samba, han de saber que aquest és un projecte que continua amb el desenvolupament de la branca de Samba 4.x amb una implementació completa d'un controlador de domini i servei d'Active Directory, compatible amb la implementació de Windows 2000 i capaç d'atendre totes les versions de clients de Windows compatibles amb Microsoft, inclòs Windows 10.
Samba 4, és un producte de servidor multifuncional, que també proporciona la implementació d'un servidor d'arxius, servei d'impressió i servidor d'autenticació (winbind).
De les vulnerabilitats que van ser eliminades en les actualitzacions llançades se'n mencionen les següents:
- CVE-2020-25717: a causa d'una falla en la lògica de mapeig d'usuaris de domini amb usuaris del sistema local, un usuari de domini d'Active Directory que té la capacitat de crear nous comptes al sistema, administrades a través de ms-DS-MachineAccountQuota, podria obtenir accés root a altres sistemes inclosos al domini.
- CVE-2021-3738: accés a una àrea de memòria ja alliberada (Usar després de lliure) a la implementació del servidor Samba AD DC RPC (dsdb), que pot conduir potencialment a una escalada de privilegis en manipular la configuració de la connexió.
CVE-2016-2124: les connexions de client establertes mitjançant el protocol SMB1 podrien transferir-se a la transmissió de paràmetres d'autenticació en text sense format o mitjançant NTLM (per exemple, per determinar les credencials per a atacs MITM), fins i tot si l'usuari o l'aplicació estan configurats com a autenticació obligatòria a través de Kerberos. - CVE-2020-25722: no es van realitzar comprovacions adequades d'accés a l'emmagatzematge en un controlador de domini d'Active Directory basat en Samba, cosa que permet a qualsevol usuari ometre les credencials i comprometre completament el domini.
- CVE-2020-25718: els tiquets de Kerberos emesos pel RODC (controlador de domini de només lectura) no es van aïllar correctament al controlador de domini d'Active Directory basat en Samba, que podria utilitzar-se per obtenir tiquets d'administrador del RODC sense tenir l'autoritat per fer-ho així que.
- CVE-2020-25719: el controlador de domini d'Active Directory basat en Samba no sempre va tenir en compte els camps SID i PAC als tiquets de Kerberos al paquet (en configurar «gensec: require_pac = true», només es va verificar el nom i PAC no pres a compte), el que va permetre a l'usuari, que té dret a crear comptes al sistema local, fer-se passar per un altre usuari del domini, inclòs un privilegiat.
- CVE-2020-25721: per als usuaris autenticats mitjançant Kerberos, no sempre es van emetre identificadors únics per a Active Directory (objectSid), cosa que podria donar lloc a interseccions d'un usuari amb un altre.
- CVE-2021-23192: durant l'atac MITM, va ser possible falsificar fragments en sol · licituds DCE / RPC grans que es van dividir en diverses parts.
Finalment, si estàs interessat en conèixer més sobre això, pots consultar els detalls a el següent enllaç.