Die Entwickler des Samba-Projekts enthüllten vor kurzem durch eine Ankündigung an Benutzer über die Entdeckung einer «ZeroLogin» -Anfälligkeit in Windows (CVE-2020-1472) und das auch se manifestierte sich in der Implementierung von einem Domänencontroller basierend auf Samba.
Verletzlichkeit wird durch Störungen im MS-NRPC-Protokoll verursacht und der AES-CFB8-Kryptoalgorithmus ermöglicht es einem Angreifer, bei erfolgreicher Ausnutzung Administratorrechte auf einem Domänencontroller zu erlangen.
Das Wesen der Verwundbarkeit ist das MS-NRPC (Netlogon Remote Protocol) ermöglicht den Austausch von Authentifizierungsdaten Verwenden Sie eine RPC-Verbindung keine Verschlüsselung.
Ein Angreifer kann dann einen Fehler im AES-CFB8-Algorithmus ausnutzen, um eine erfolgreiche Anmeldung zu fälschen (fälschen). Es sind ungefähr 256 Spoofing-Versuche erforderlich um sich mit Administratorrechten im Durchschnitt anzumelden.
Für den Angriff ist kein Arbeitskonto auf dem Domänencontroller erforderlich;; Identitätswechselversuche können mit einem falschen Passwort durchgeführt werden.
Die NTLM-Authentifizierungsanforderung wird an den Domänencontroller umgeleitet, der den verweigerten Zugriff zurückgibt. Der Angreifer kann diese Antwort jedoch fälschen, und das angegriffene System betrachtet die Anmeldung als erfolgreich.
Eine Sicherheitsanfälligkeit bezüglich der Erhöhung von Berechtigungen liegt vor, wenn ein Angreifer mithilfe des Netlogon Remote Protocol (MS-NRPC) eine anfällige sichere Netlogon-Kanalverbindung zu einem Domänencontroller herstellt. Ein Angreifer, der die Sicherheitsanfälligkeit erfolgreich ausnutzt, kann eine speziell gestaltete Anwendung auf einem Netzwerkgerät ausführen.
Um die Sicherheitsanfälligkeit auszunutzen, muss ein nicht authentifizierter Angreifer MS-NRPC verwenden, um eine Verbindung zu einem Domänencontroller herzustellen und Domänenadministratorzugriff zu erhalten.
In Samba, Verletzlichkeit wird nur auf Systemen angezeigt, die nicht die Einstellung "Server schannel = yes" verwenden. Dies ist die Standardeinstellung seit Samba 4.8.
Insbesondere, Systeme mit den Einstellungen "Server schannel = no" und "server schannel = auto" können gefährdet seinDadurch kann Samba im AES-CFB8-Algorithmus dieselben Fehler verwenden wie unter Windows.
Bei Verwendung des Windows-fähigen Exploit-Referenzprototyps wird nur der ServerAuthenticate3-Aufruf in Samba ausgelöst und der ServerPasswordSet2-Vorgang schlägt fehl (der Exploit erfordert eine Anpassung für Samba).
Aus diesem Grund laden die Samba-Entwickler Benutzer ein, die die Änderung vorgenommen haben Server-Kanal = ja Wenn Sie auf "Nein" oder "Auto" klicken, kehren Sie zur Standardeinstellung "Ja" zurück und vermeiden Sie dadurch das Problem der Sicherheitsanfälligkeit.
Über die Leistung alternativer Exploits wurde nichts berichtet, obwohl Versuche, Systeme anzugreifen, verfolgt werden können, indem das Vorhandensein von Einträgen unter Erwähnung von ServerAuthenticate3 und ServerPasswordSet in den Samba-Überwachungsprotokollen analysiert wird.
Microsoft behebt die Sicherheitsanfälligkeit in einer zweiphasigen Bereitstellung. Diese Updates beheben die Sicherheitsanfälligkeit, indem sie die Art und Weise ändern, wie Netlogon die Verwendung sicherer Netlogon-Kanäle handhabt.
Wenn die zweite Phase der Windows-Updates im ersten Quartal 2021 verfügbar ist, werden Kunden über einen Patch für diese Sicherheitslücke benachrichtigt.
Führen Sie für Benutzer früherer Samba-Versionen das entsprechende Update auf die neueste stabile Version von Samba durch oder wenden Sie die entsprechenden Patches an, um diese Sicherheitsanfälligkeit zu beheben.
Samba hat einen gewissen Schutz für dieses Problem, da wir seit Samba 4.8 den Standardwert 'server schannel = yes' haben.
Benutzern, die diese Standardeinstellung geändert haben, wird empfohlen, dass Samba das Netlogon-AES-Protokoll genau implementiert und somit auf denselben Entwurfsfehler des Kryptosystems stößt.
Anbieter, die Samba 4.7 und frühere Versionen unterstützen, müssen ihre Installationen und Pakete patchen, um diese Standardeinstellung zu ändern.
Sie sind NICHT sicher und wir hoffen, dass sie zu einem vollständigen Domänenkompromiss führen können, insbesondere für AD-Domänen.
Schließlich wenn Sie mehr darüber wissen möchten Über diese Sicherheitsanfälligkeit können Sie die Ankündigungen des Samba-Teams überprüfen (in diesem Link) oder auch von Microsoft (Link).