Nedávno byly vydány aktualizace opravných balíčků pro různé verze Samby, jaké byly verze 4.15.2, 4.14.10 a 4.13.14implementovali změny, které zahrnují odstranění 8 zranitelností, z nichž většina může vést k úplné kompromitaci domény Active Directory.
Je třeba poznamenat, že jeden z problémů byl opraven v roce 2016 a pět od roku 2020, ačkoli jedna oprava vedla k nemožnosti spustit winbindd v nastavení přítomnosti «povolit důvěryhodné domény = ne»(Vývojáři mají v úmyslu okamžitě uvolnit další aktualizaci k opravě).
Tyto funkce mohou být ve špatných rukou docela nebezpečné, protože uživatel qKdo takové účty vytvoří, má rozsáhlá oprávnění nejen k jejich vytváření a nastavit jejich hesla, ale přejmenovat je později pomocí jediným omezením je, že se nemusí shodovat s existujícím názvem samAccountName.
Když Samba vystupuje jako člen domény AD a přijímá lístek Kerberos, musí namapujte zde nalezené informace na místní ID uživatele UNIX (uid). Tento se aktuálně provádí prostřednictvím názvu účtu v Active Directory Generated Kerberos Privileged Attribute Certificate (PAC) nebo název účtu na tiketu (pokud tam není PAC).
Samba se například dříve pokusí najít uživatele "DOMÉNA \ uživatel". uchýlit se ke snaze najít uživatele „uživatel“. Pokud může selhat hledání DOMÉNA \ uživatel, pak oprávnění lezení je možné.
Pro ty, kteří nejsou obeznámeni se Sambou, mějte na paměti, že se jedná o projekt, který pokračuje ve vývoji pobočky Samba 4.x s plnou implementací řadiče domény a služby Active Directory, kompatibilní s implementací Windows 2000 a schopný obsluhovat všechny verze Windows klienti podporovaní společností Microsoft, včetně Windows 10.
Samba 4, je multifunkční serverový produkt, který také zajišťuje implementaci souborového serveru, tiskové služby a ověřovacího serveru (winbind).
Z chyb zabezpečení, které byly odstraněny ve vydaných aktualizacích, jsou uvedeny následující:
- CVE-2020-25717- Kvůli chybě v logice mapování uživatelů domény na uživatele místního systému může uživatel domény Active Directory, který má možnost vytvářet nové účty ve svém systému spravovaném prostřednictvím ms-DS-MachineAccountQuota, získat přístup root k dalším zahrnutým systémům. v doméně.
- CVE-2021-3738- Přístup k oblasti paměti již uvolněné (Použít po uvolnění) v implementaci serveru Samba AD DC RPC (dsdb), což může potenciálně vést k eskalaci oprávnění při manipulaci s nastavením připojení.
CVE-2016-2124- Klientská připojení vytvořená pomocí protokolu SMB1 by mohla být předána k přenosu ověřovacích parametrů v prostém textu nebo pomocí NTLM (například k určení pověření pro útoky MITM), i když je uživatel nebo aplikace nakonfigurována jako povinná autentizace prostřednictvím protokolu Kerberos. - CVE-2020-25722- Na řadiči domény Active Directory založeném na Sambě nebyly provedeny adekvátní kontroly přístupu k úložišti, což umožnilo jakémukoli uživateli obejít přihlašovací údaje a zcela ohrozit doménu.
- CVE-2020-25718- Lístky Kerberos vydané řadičem domény jen pro čtení (RODC) nebyly správně izolovány od řadiče domény Active Directory založeného na Sambě, který by bylo možné použít k získání lístků správce z řadiče domény jen pro čtení, aniž byste k tomu měli oprávnění.
- CVE-2020-25719- řadič domény Active Directory založený na Sambě nebral vždy v úvahu pole SID a PAC v lístcích Kerberos v balíčku (při nastavení "gensec: require_pac = true" se nebere v úvahu pouze jméno a PAC), což umožnilo uživateli, který má právo vytvářet účty na lokálním systému, vydávat se za jiného uživatele domény, včetně privilegovaného.
- CVE-2020-25721: Pro uživatele ověřené pomocí Kerberos nebyly vždy vydány jedinečné identifikátory pro Active Directory (objectSid), což by mohlo vést k průniku uživatele s uživatelem.
- CVE-2021-23192- Během útoku MITM bylo možné podvrhnout fragmenty ve velkých požadavcích DCE / RPC, které byly rozděleny na více částí.
Nakonec, pokud máte zájem dozvědět se o tom více, můžete si podrobnosti prostudovat v následující odkaz.