Hiljuti paranduspaketi värskendused avaldati erinevate Samba versioonide jaoks, millised olid versioonid 4.15.2, 4.14.10 ja 4.13.14, rakendasid nad muudatused, mis hõlmavad 8 haavatavuse kõrvaldamist, millest enamik võib viia Active Directory domeeni täieliku kahjustamiseni.
Tuleb märkida, et üks probleemidest parandati 2016. aastal ja viis 2020. aasta seisuga, kuigi ühe paranduse tõttu ei saanud kohaloleku seadetes winbindd käivitada «luba usaldusväärseid domeene = ei»(Arendajad kavatsevad kohe uue värskenduse parandamiseks välja anda).
Need funktsioonid võivad valedes kätes olla üsna ohtlikud, kuna kasutaja qIgaühel, kes selliseid kontosid loob, on ulatuslikud õigused mitte ainult nende loomiseks ja määrake nende paroolid, kuid et need hiljem ümber nimetada ainus piirang on see, et need ei pruugi kattuda olemasoleva samAccountName'iga.
Kui Samba tegutseb AD-domeeni liikmena ja aktsepteerib Kerberose piletit, peab ta seda tegema kaardistada sealt leitud teave kohaliku UNIX-i kasutaja ID-ga (uid). See tehakse praegu Active Directory konto nime kaudu Loodud Kerberose privilegeeritud atribuudi sertifikaat (PAC) või konto nimi piletil (kui PAC puudub).
Näiteks proovib Samba enne leida kasutajat "DOMAIN \ kasutaja". püüdes leida kasutajat "kasutaja". Kui DOMAIN \ kasutaja otsing nurjub, siis privileeg ronimine on võimalik.
Neile, kes pole Sambast tuttavad, peaksite teadma, et see on projekt, mis jätkab filiaali Samba 4.x arendamist domeenikontrolleri ja Active Directory teenuse täieliku juurutamisega, ühilduv Windows 2000 juurutamisega ja võimeline teenima kõiki versioone Microsofti toetatud Windowsi klientidest, sealhulgas Windows 10.
Samba 4, on multifunktsionaalne serveritoode, mis pakub ka failiserveri, prinditeenuse ja autentimisserveri (winbind) juurutamist.
Välja antud värskendustes kõrvaldatud haavatavustest mainitakse järgmist:
- CVE-2020-25717- Domeeni kasutajate kohaliku süsteemi kasutajatega vastendamise loogika tõttu võib Active Directory domeeni kasutaja, kellel on võimalus luua oma süsteemis uusi kontosid, mida hallatakse ms-DS-MachineAccountQuota kaudu, saada juurjuurdepääsu teistele kaasatud süsteemidele. domeenis.
- CVE-2021-3738- Juurdepääs mälualale, mis on juba vabastatud (kasuta pärast vaba kasutamist) Samba AD DC RPC (dsdb) serveri juurutamisel, mis võib ühenduse sätetega manipuleerimisel põhjustada privileegide eskaleerumist.
CVE-2016-2124- SMB1-protokolli abil loodud kliendiühendused võidakse edastada autentimisparameetrite edastamisele lihttekstina või NTLM-i abil (näiteks MITM-i rünnakute mandaatide määramiseks), isegi kui kasutaja või rakendus on Kerberose kaudu konfigureeritud autentimiseks kohustuslik. - CVE-2020-25722- Samba-põhise Active Directory domeenikontrolleri puhul ei kontrollitud piisavat juurdepääsu salvestusruumile, mis võimaldas igal kasutajal mandaatidest mööda minna ja domeeni täielikult kahjustada.
- CVE-2020-25718- RODC (kirjutuskaitstud domeenikontroller) väljastatud Kerberose piletid ei olnud korralikult isoleeritud Samba-põhise Active Directory domeenikontrolleriga, mida saaks kasutada RODC-lt administraatoripiletite hankimiseks, ilma et neil oleks selleks volitusi.
- CVE-2020-25719- Samba-põhine Active Directory domeenikontroller ei võtnud alati arvesse SID- ja PAC-välju Kerberose piletites paketis ("gensec: request_pac = true" määramisel ei võetud arvesse ainult nime ja PAC-i), mis võimaldas kasutajal, kellel on õigus luua kohalikus süsteemis kontosid, esineda teise domeeni kasutajana, sealhulgas privilegeeritud kasutajana.
- CVE-2020-25721: Kerberose abil autentitud kasutajatele ei väljastatud alati Active Directory (objectSid) kordumatuid identifikaatoreid, mis võib põhjustada kasutajate ja kasutajate ristumisi.
- CVE-2021-23192- MITM-i rünnaku ajal oli võimalik võltsida fragmente suurtes DCE / RPC päringutes, mis olid jagatud mitmeks osaks.
Lõpuks, kui teil on huvi selle kohta rohkem teada saada, võite tutvuda üksikasjadega järgmine link.