Els desenvolupadors de el projecte Samba van donar a conèixer recentment mitjançant un anunci als usuaris sobre el descobriment d'una vulnerabilitat «ZeroLogin» en Windows (CVE-2020-1472) i que també si manifesta en la implementació d'un controlador de domini basat en Samba.
la vulnerabilitat és causada per falles en el protocol MS-NRPC i el criptoalgoritmo AES-CFB8, i si s'explota amb èxit, permet que un atacant obtingui drets d'administrador en un controlador de domini.
L'essència de la vulnerabilitat és que MS-NRPC (Netlogon Remote Protocol) permet que l'intercanvi de dades d'autenticació recorri a l'ús d'una connexió RPC sense xifrat.
Un atacant pot llavors aprofitar una falla en l'algoritme AES-CFB8 per falsificar (suplantar) un inici de sessió amb èxit. Es necessiten aproximadament 256 intents de suplantació d'identitat per iniciar sessió amb drets d'administrador de mitjana.
L'atac no requereix un compte que funcioni al controlador de domini; es poden realitzar intents de suplantació amb una contrasenya incorrecta.
La sol·licitud d'autenticació NTLM es redirigirà a el controlador de domini, que tornarà l'accés denegat, però l'atacant pot falsificar aquesta resposta i el sistema atacat considerarà que l'inici de sessió va ser reeixit.
Hi ha una vulnerabilitat d'elevació de privilegis quan un atacant estableix una connexió de canal segur Netlogon vulnerable a un controlador de domini, utilitzant el Protocol remot de Netlogon (MS-NRPC). Un atacant que aprofitara amb èxit la vulnerabilitat podria executar una aplicació especialment dissenyada en un dispositiu de la xarxa.
Per aprofitar la vulnerabilitat, es requeriria que un atacant no autenticat fes servir MS-NRPC per connectar-se a un controlador de domini per obtenir accés d'administrador de domini.
en Samba, La vulnerabilitat apareix només en sistemes que no fan servir la configuració «server schannel = yes», aquesta és per omissió des Samba 4.8.
En particular, els sistemes amb les configuracions «server schannel = no» i «server schannel = auto» es poden veure compromesos, El que permet que Samba faci servir les mateixes falles en l'algoritme AES-CFB8 que en Windows.
Quan s'utilitza el prototip de referència de l'exploit preparat per a Windows, només s'activa l'anomenada ServerAuthenticate3 en Samba i l'operació ServerPasswordSet2 falla (l'exploit requereix adaptació per Samba).
És per això que els desenvolupadors de Samba conviden als usuaris que hagin realitzat el canvi de server schannel = yes a «no» o «acte», tornin a la configuració per defecte «yes» i amb això evitar el problema de la vulnerabilitat.
No es va informar res sobre el rendiment de gestes alternatius, tot i que pot realitzar-se un seguiment dels intents d'atacar els sistemes analitzant la presència d'entrades amb la menció de ServerAuthenticate3 i ServerPasswordSet en els registres d'auditoria de Samba.
Microsoft està abordant la vulnerabilitat en una implementació en dues fases. Aquestes actualitzacions aborden la vulnerabilitat a l'modificar la forma en què Netlogon maneja l'ús dels canals segurs de Netlogon.
Quan la segona fase de les actualitzacions de Windows estigui disponible en el primer trimestre de 2021, els clients seran notificats mitjançant una revisió d'aquesta vulnerabilitat de seguretat.
Finalment pel que fa als que són usuaris de versions de samba anteriors realitzin l'actualització pertinent a l'última versió estable de samba o optin per aplicar els pegats corresponents per solucionar aquesta vulnerabilitat.
Samba té certa protecció per a aquest problema perquè des Samba 4.8 tenim un valor per defecte de 'server schannel = yes'.
S'adverteix als usuaris que han canviat aquest valor predeterminat que Samba implementa el protocol Netlogon AES fidelment i així cau a la mateixa falla en el disseny de l'criptosistema.
Els proveïdors que admeten Samba 4.7 i versions anteriors han de posar pegats les seves instal·lacions i paquets per canviar aquest valor predeterminat.
NO són segures i esperem que puguin resultar en un compromís total de l'domini, particularment per als dominis AD.
Finalment, si estàs interessat en conèixer més a l'respecte sobre aquesta vulnerabilitat pots consultar els anuncis realitzats per l'equip de samba (En aquest enllaç) O també per part de Microsoft (en aquest enllaç).