Představili vývojáři projektu Samba nedávno prostřednictvím oznámení uživatelům o objev zranitelnosti «ZeroLogin» ve Windows (CVE-2020-1472) a to také jee se projevuje při implementaci z řadiče domény na základě Samby.
Zranitelnost je způsobeno chybami v protokolu MS-NRPC a kryptografický algoritmus AES-CFB8, a pokud bude úspěšně využit, umožňuje útočníkovi získat práva správce na řadiči domény.
Podstata zranitelnosti je to, že MS-NRPC (Netlogon Remote Protocol) umožňuje výměnu autentizačních dat uchýlit se k použití připojení RPC žádné šifrování.
Útočník pak může zneužít chybu v algoritmu AES-CFB8 ke zfalšování (spoof) úspěšného přihlášení. Je vyžadováno přibližně 256 pokusů o spoofing v průměru se přihlásit s právy správce.
Útok nevyžaduje funkční účet na řadiči domény; Pokusy o předstírání jiné identity lze provést s nesprávným heslem.
Žádost o ověření NTLM bude přesměrována na řadič domény, který vrátí přístup odepřen, ale útočník může tuto odpověď spoofovat a napadený systém bude přihlášení považovat za úspěšné.
Pokud útočník vytvoří zranitelné připojení zabezpečeného kanálu Netlogon k řadiči domény pomocí protokolu Netlogon Remote Protocol (MS-NRPC), dojde ke zvýšení úrovně zabezpečení oprávnění. Útočník, který tuto chybu zabezpečení úspěšně zneužije, může spustit speciálně vytvořenou aplikaci na síťovém zařízení.
Aby bylo možné tuto chybu zabezpečení zneužít, bude vyžadován neověřený útočník, aby se pomocí MS-NRPC připojil k řadiči domény a získal přístup správce domény.
V Sambězranitelnost zobrazí se pouze v systémech, které nepoužívají nastavení „server schannel = yes“, což je výchozí nastavení od verze Samba 4.8.
Zejména systémy s nastavením „server schannel = no“ a „server schannel = auto“ mohou být ohroženy, což umožňuje Sambě používat stejné chyby v algoritmu AES-CFB8 jako v systému Windows.
Při použití prototypu referenčního zneužití připraveného pro Windows se v Sambě spustí pouze volání ServerAuthenticate3 a operace ServerPasswordSet2 selže (exploit vyžaduje adaptaci pro Sambu).
Proto vývojáři Samby zvou uživatele, kteří tuto změnu provedli serverový kanál = ano na „ne“ nebo „automaticky“, vraťte se na výchozí nastavení „ano“ a vyhněte se tak problému se zranitelností.
Nebylo hlášeno nic o výkonu alternativních zneužití, i když pokusy o útok na systémy lze sledovat analýzou přítomnosti položek s uvedením ServerAuthenticate3 a ServerPasswordSet v protokolech auditu Samba.
Společnost Microsoft řeší tuto chybu zabezpečení ve dvoufázovém nasazení. Tyto aktualizace řeší tuto chybu zabezpečení změnou způsobu, jakým Netlogon zpracovává použití zabezpečených kanálů Netlogon.
Když bude v 2021. čtvrtletí XNUMX k dispozici druhá fáze aktualizací systému Windows, zákazníci budou informováni prostřednictvím opravy této chyby zabezpečení.
A konečně, pro ty, kteří jsou uživateli předchozích verzí samby, proveďte příslušnou aktualizaci na nejnovější stabilní verzi samby nebo se rozhodněte použít příslušné opravy k vyřešení této chyby zabezpečení.
Samba má pro tento problém určitou ochranu, protože od verze Samba 4.8 máme výchozí hodnotu 'server schannel = yes'.
Uživatelům, kteří toto výchozí nastavení změnili, se doporučuje, aby Samba věrně implementoval protokol netlogon AES a spadl tak do stejné chyby v návrhu kryptosystému.
Poskytovatelé, kteří podporují Sambu 4.7 a starší verze, musí toto své nastavení a balíčky opravit.
Nejsou bezpečné a doufáme, že mohou vyústit v kompromitování celé domény, zejména u domén AD.
Konečně, pokud máte zájem o tom vědět více o této chybě zabezpečení můžete zkontrolovat oznámení učiněná týmem samba (v tomto odkazu) nebo také společností Microsoft (odkaz).