Udviklerne af Samba-projektet afsløret for nylig gennem en meddelelse til brugerne om opdagelsen af en "ZeroLogin" sårbarhed i Windows (CVE-2020-1472) og det også smanifesteret i implementeringen fra en domænecontroller baseret på Samba.
Sårbarhed er forårsaget af fejl i MS-NRPC-protokollen og AES-CFB8-kryptoalgoritmen, og hvis den udnyttes med succes, giver en angriber mulighed for at få administratorrettigheder på en domænecontroller.
Essensen af sårbarhed er, at MS-NRPC (Netlogon Remote Protocol) tillader udveksling af godkendelsesdata ty til at bruge en RPC-forbindelse ingen kryptering.
En angriber kan derefter udnytte en fejl i AES-CFB8-algoritmen til at spoofe (spoofe) et vellykket login. Cirka 256 forsøg på spoofing er påkrævet for at logge på med administratorrettigheder i gennemsnit.
Angrebet kræver ikke en fungerende konto på domænecontrolleren; Forsøg på efterligning kan foretages med en forkert adgangskode.
NTLM-godkendelsesanmodningen vil blive omdirigeret til domænecontrolleren, som vil returnere adgang nægtet, men angriberen kan falske dette svar, og det angrebne system betragter login som vellykket.
Der er en forhøjelse af privilegiesårbarhed, når en angriber opretter en sårbar Netlogon-kanalforbindelse til en domænecontroller ved hjælp af Netlogon Remote Protocol (MS-NRPC). En hacker, der med succes udnyttede sårbarheden, kunne køre en specielt designet applikation på en netværksenhed.
For at udnytte sårbarheden ville en ikke-godkendt angriber være forpligtet til at bruge MS-NRPC til at oprette forbindelse til en domænecontroller for at få adgang til domæneadministratoren.
I Samba, sårbarhed vises kun på systemer, der ikke bruger indstillingen "server schannel = yes", hvilket er standard siden Samba 4.8.
Især systemer med "server schannel = no" og "server schannel = auto" indstillinger kan kompromitteres, som gør det muligt for Samba at bruge de samme fejl i AES-CFB8-algoritmen som i Windows.
Når du bruger den Windows-klar udnyttelsesreferenceprototype, er det kun ServerAuthenticate3-opkald, der affyres i Samba, og ServerPasswordSet2-operationen mislykkes (udnyttelsen kræver tilpasning til Samba).
Derfor inviterer Samba-udviklerne brugere, der har foretaget ændringen til server-kanal = ja til "nej" eller "auto", vend tilbage til standardindstillingen "ja" og undgå derved sårbarhedsproblemet.
Intet blev rapporteret om udførelsen af alternative udnyttelser, selvom forsøg på at angribe systemer kan spores ved at analysere tilstedeværelsen af poster med omtale af ServerAuthenticate3 og ServerPasswordSet i Samba-auditlogfiler.
Microsoft adresserer sårbarheden i en to-faset implementering. Disse opdateringer løser sårbarheden ved at ændre den måde, som Netlogon håndterer brugen af sikre Netlogon-kanaler.
Når anden fase af Windows-opdateringer er tilgængelig i 2021. kvartal XNUMX, vil kunderne blive underrettet via en programrettelse for denne sikkerhedssårbarhed.
Endelig, for dem, der er brugere af tidligere samba-versioner, skal du udføre den relevante opdatering til den seneste stabile version af samba eller vælge at anvende de tilsvarende programrettelser for at løse denne sårbarhed.
Samba har en vis beskyttelse for dette problem, fordi vi siden Samba 4.8 har en standardværdi på 'server schannel = yes'.
Brugere, der har ændret denne standard, rådes til, at Samba implementerer netlogon AES-protokollen trofast og dermed falder til den samme fejl i kryptosystemdesignet.
Udbydere, der understøtter Samba 4.7 og tidligere versioner, skal patch deres installationer og pakker for at ændre denne standard.
De er IKKE sikre, og vi håber, at de kan resultere i fuldt kompromis med domæner, især for AD-domæner.
Endelig hvis du er interesseret i at vide mere om det om denne sårbarhed kan du kontrollere meddelelserne fra samba-teamet (i dette link) eller også af Microsoft (dette link).