Πρόσφατα κυκλοφόρησαν ενημερώσεις πακέτων επιδιόρθωσης για διάφορες εκδόσεις Samba, που ήταν οι εκδοχές 4.15.2, 4.14.10 και 4.13.14, εφάρμοσαν αλλαγές που περιλαμβάνουν την εξάλειψη 8 τρωτών σημείων, τα περισσότερα από τα οποία μπορούν να οδηγήσουν σε πλήρη παραβίαση του τομέα της υπηρεσίας καταλόγου Active Directory.
Θα πρέπει να σημειωθεί ότι ένα από τα ζητήματα επιδιορθώθηκε το 2016 και πέντε, από το 2020, αν και μία επιδιόρθωση είχε ως αποτέλεσμα την αδυναμία εκτέλεσης του winbindd στις ρυθμίσεις παρουσίας «επιτρέπονται αξιόπιστοι τομείς = όχι»(Οι προγραμματιστές σκοπεύουν να κυκλοφορήσουν αμέσως μια άλλη ενημέρωση για επισκευή).
Αυτές οι λειτουργίες μπορεί να είναι αρκετά επικίνδυνες σε λάθος χέρια, καθώς ο χρήστης qΌποιος δημιουργεί τέτοιους λογαριασμούς έχει εκτεταμένα προνόμια όχι μόνο να τους δημιουργήσει και ορίστε τους κωδικούς πρόσβασής τους, αλλά για να τους μετονομάσετε αργότερα με ο μόνος περιορισμός είναι ότι ενδέχεται να μην ταιριάζουν με ένα υπάρχον samAccountName.
Όταν το Samba ενεργεί ως μέλος του τομέα AD και αποδέχεται ένα εισιτήριο Kerberos, πρέπει αντιστοιχίστε τις πληροφορίες που βρίσκονται εκεί σε ένα τοπικό αναγνωριστικό χρήστη UNIX (uid). Αυτό προς το παρόν γίνεται μέσω του ονόματος λογαριασμού στην υπηρεσία καταλόγου Active Directory Δημιουργήθηκε πιστοποιητικό προνομιούχου χαρακτηριστικού Kerberos (PAC) ή το όνομα λογαριασμού στο εισιτήριο (αν δεν υπάρχει PAC).
Για παράδειγμα, η Samba θα προσπαθήσει να βρει έναν χρήστη "DOMAIN \ χρήστη" πριν καταφεύγοντας στην προσπάθεια εύρεσης του χρήστη «χρήστη». Εάν η αναζήτηση για DOMAIN \ χρήστης μπορεί να αποτύχει, τότε ένα προνόμιο η αναρρίχηση είναι δυνατή.
Για όσους δεν είναι εξοικειωμένοι με το Samba, πρέπει να γνωρίζετε ότι πρόκειται για ένα έργο που συνεχίζει την ανάπτυξη του κλάδου Samba 4.x με πλήρη υλοποίηση ενός ελεγκτή τομέα και υπηρεσίας Active Directory, συμβατό με την εφαρμογή των Windows 2000 και ικανό να εξυπηρετεί όλες τις εκδόσεις πελατών Windows που υποστηρίζονται από τη Microsoft, συμπεριλαμβανομένων των Windows 10.
Το Samba 4, είναι ένα πολυλειτουργικό προϊόν διακομιστή, ο οποίος παρέχει επίσης την εφαρμογή ενός διακομιστή αρχείων, υπηρεσίας εκτύπωσης και διακομιστή ελέγχου ταυτότητας (winbind)
Από τα τρωτά σημεία που εξαλείφθηκαν στις ενημερώσεις που κυκλοφόρησαν, αναφέρονται τα ακόλουθα:
- CVE-2020-25717- Λόγω ενός ελαττώματος στη λογική της αντιστοίχισης των χρηστών τομέα σε χρήστες τοπικού συστήματος, ένας χρήστης τομέα Active Directory που έχει τη δυνατότητα να δημιουργήσει νέους λογαριασμούς στο σύστημά του, τους οποίους διαχειρίζεται το ms-DS-MachineAccountQuota, θα μπορούσε να αποκτήσει πρόσβαση root σε άλλα συστήματα που περιλαμβάνονται στον τομέα.
- CVE-2021-3738- Πρόσβαση σε μια περιοχή μνήμης που έχει ήδη ελευθερωθεί (Χρήση μετά τη δωρεάν) στην υλοποίηση διακομιστή Samba AD DC RPC (dsdb), η οποία μπορεί ενδεχομένως να οδηγήσει σε κλιμάκωση των προνομίων κατά τον χειρισμό των ρυθμίσεων σύνδεσης.
CVE-2016-2124- Οι συνδέσεις πελάτη που δημιουργήθηκαν χρησιμοποιώντας το πρωτόκολλο SMB1 θα μπορούσαν να μεταβιβαστούν στη μετάδοση παραμέτρων ελέγχου ταυτότητας σε απλό κείμενο ή στη χρήση NTLM (για παράδειγμα, για τον καθορισμό διαπιστευτηρίων για επιθέσεις MITM), ακόμα κι αν ο χρήστης ή η εφαρμογή έχει διαμορφωθεί ως έλεγχος ταυτότητας Υποχρεωτική μέσω Kerberos. - CVE-2020-25722- Δεν πραγματοποιήθηκαν επαρκείς έλεγχοι πρόσβασης στο χώρο αποθήκευσης σε έναν ελεγκτή τομέα Active Directory που βασίζεται σε Samba, επιτρέποντας σε οποιονδήποτε χρήστη να παρακάμψει τα διαπιστευτήρια και να υπονομεύσει πλήρως τον τομέα.
- CVE-2020-25718- Τα εισιτήρια Kerberos που εκδόθηκαν από το RODC (ελεγκτής τομέα μόνο για ανάγνωση) δεν ήταν σωστά απομονωμένα στον ελεγκτή τομέα Active Directory που βασίζεται σε Samba, ο οποίος θα μπορούσε να χρησιμοποιηθεί για την απόκτηση εισιτηρίων διαχειριστή από το RODC χωρίς την εξουσιοδότηση να το κάνει.
- CVE-2020-25719- Ο ελεγκτής τομέα Active Directory που βασίζεται στη Samba δεν λάμβανε πάντα υπόψη τα πεδία SID και PAC στα εισιτήρια Kerberos στο πακέτο (όταν όριζε "gensec: require_pac = true", μόνο το όνομα και το PAC δεν ελήφθησαν υπόψη), γεγονός που επέτρεπε στον χρήστη που έχει το δικαίωμα δημιουργίας λογαριασμών στο τοπικό σύστημα, πλαστοπροσωπίας άλλου χρήστη τομέα, συμπεριλαμβανομένου ενός προνομιούχου.
- CVE-2020-25721: Για χρήστες που ελέγχονται με χρήση Kerberos, δεν εκδίδονταν πάντα μοναδικά αναγνωριστικά για την υπηρεσία καταλόγου Active Directory (objectSid), γεγονός που θα μπορούσε να οδηγήσει σε διασταυρώσεις χρήστη-χρήστη.
- CVE-2021-23192- Κατά τη διάρκεια της επίθεσης MITM, ήταν δυνατή η πλαστογράφηση θραυσμάτων σε μεγάλα αιτήματα DCE / RPC που χωρίστηκαν σε πολλαπλά μέρη.
Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα για αυτό, μπορείτε να συμβουλευτείτε τις λεπτομέρειες στο τον ακόλουθο σύνδεσμο.