Samba projekti arendajad avalikustasid hiljuti kasutajate teate kaudu «ZeroLogin» haavatavuse avastamine Windowsis (CVE-2020-1472) ja see ka se avaldub rakendamises domeenikontrollerilt Samba põhjal.
Haavatavus on põhjustatud tõrketest MS-NRPC protokollis ja AES-CFB8 krüptoalgoritm ning edukaks kasutamiseks võimaldab ründajal saada domeenikontrolleris administraatori õigused.
Haavatavuse olemus on see, et MS-NRPC (Netlogoni kaugprotokoll) võimaldab autentimisandmete vahetust kasutada RPC-ühendust krüptimine puudub.
Seejärel saab ründaja eduka sisselogimise võltsimiseks (võltsimiseks) kasutada AES-CFB8 algoritmi viga. Vaja on umbes 256 võltskatset keskmiselt administraatori õigustega sisselogimiseks.
Rünnak ei nõua domeenikontrolleris töötavat kontot; Teisena esinemise katseid saab teha vale parooliga.
NTLM-i autentimistaotlus suunatakse domeenikontrollerisse, mis tagastab juurdepääsu keelamise, kuid ründaja saab selle vastuse võltsida ja rünnatud süsteem peab sisselogimist edukaks.
Kui ründaja loob Netlogoni turvakanali ühenduse haavatavama domeenikontrolleriga, kasutades Netlogoni kaugprotokolli (MS-NRPC), on privileegide kõrgem nõrkus. Haavatavust edukalt ära kasutanud ründaja võib võrguseadmes käivitada spetsiaalselt loodud rakenduse.
Haavatavuse kasutamiseks peaks autentimata ründaja kasutama domeenikontrolleriga ühenduse saamiseks domeenikontrolleriga ühenduse saamiseks MS-NRPC-d.
Sambas, haavatavus ilmub ainult süsteemides, mis ei kasuta sätet "server schannel = yes", mis on vaikimisi alates Samba 4.8-st.
Eelkõige süsteemid, mille seaded on "server schannel = no" ja "server schannel = auto", võivad olla ohustatud, mis võimaldab Sambal kasutada AES-CFB8 algoritmis samu vigu kui Windowsis.
Kui kasutate Windowsi jaoks valmis ekspluateerimise prototüüpi, käivitatakse Sambas ainult ServerAuthenticate3 kõne ja toiming ServerPasswordSet2 nurjub (ekspluateerimine nõuab Samba jaoks kohandamist).
Seetõttu kutsuvad Samba arendajad kasutajad, kes on muudatused teinud server schannel = jah asendisse "ei" või "automaatne" naaske vaikeseade "jah" juurde ja vältige seeläbi haavatavuse probleemi.
Alternatiivsete ärakasutuste toimivuse kohta ei olnud midagi teada, kuigi süsteemide ründamise katseid saab jälgida, analüüsides kirjete olemasolu, mainides Samba auditilogides ServerAuthenticate3 ja ServerPasswordSet.
Microsoft tegeleb kahefaasilise juurutamise haavatavusega. Need värskendused kõrvaldavad haavatavuse, muutes Netlogoni käitlemist Netlogoni turvaliste kanalite kasutamisel.
Kui Windowsi värskenduste teine etapp on saadaval 2021. aasta I kvartalis, teavitatakse kliente selle turvaauka kohta plaastri kaudu.
Lõpuks, neile, kes on samba eelmiste versioonide kasutajad, värskendage samba uusimat stabiilset versiooni või valige selle haavatavuse lahendamiseks vastavad plaastrid.
Sambal on selle probleemi jaoks teatud kaitse, sest alates Samba 4.8-st on meil vaikeväärtus „server schannel = yes”.
Kasutajaid, kes on seda vaikeväärtust muutnud, hoiatatakse, et Samba rakendab netlogoni AES-i protokolli tõetruult ja langeb seega samasse krüptosüsteemi kujundusveale.
Pakkujad, kes toetavad Samba 4.7 ja varasemaid versioone, peavad selle vaikimisi muutmiseks oma installid ja paketid lappima.
Need EI OLE turvalised ja loodame, et need võivad viia täieliku domeeni kompromissini, eriti AD-domeenide puhul.
Lõpuks kui olete huvitatud sellest rohkem teada saama selle haavatavuse kohta saate vaadata samba meeskonna teadaandeid (sellel lingil) või ka Microsofti poolt (see link).