Les développeurs du projet Samba dévoilés récemment par le biais d'une annonce aux utilisateurs concernant la découverte d'une vulnérabilité «ZeroLogin» sous Windows (CVE-2020-1472) et c'est aussie manifesté dans la mise en œuvre à partir d'un contrôleur de domaine basé sur Samba.
Vulnérabilité est causé par des failles dans le protocole MS-NRPC et l'algorithme de cryptage AES-CFB8, et s'il est exploité avec succès, permet à un attaquant d'obtenir des droits d'administrateur sur un contrôleur de domaine.
L'essence de la vulnérabilité est que MS-NRPC (Netlogon Remote Protocol) permet l'échange de données d'authentification recourir à une connexion RPC pas de cryptage.
Un attaquant peut alors exploiter une faille dans l'algorithme AES-CFB8 pour usurper (usurper) une connexion réussie. Environ 256 tentatives d'usurpation d'identité sont nécessaires pour vous connecter avec des droits d'administrateur en moyenne.
L'attaque ne nécessite pas de compte opérationnel sur le contrôleur de domaine; Les tentatives d'usurpation d'identité peuvent être effectuées avec un mot de passe incorrect.
La demande d'authentification NTLM sera redirigée vers le contrôleur de domaine, qui retournera l'accès refusé, mais l'attaquant peut usurper cette réponse et le système attaqué considérera la connexion réussie.
Il existe une vulnérabilité d'élévation de privilèges lorsqu'un attaquant établit une connexion de canal sécurisé Netlogon vulnérable à un contrôleur de domaine, à l'aide du protocole Netlogon Remote Protocol (MS-NRPC). Un attaquant qui parviendrait à exploiter la vulnérabilité pourrait exécuter une application spécialement conçue sur un périphérique réseau.
Pour exploiter la vulnérabilité, un attaquant non authentifié devrait utiliser MS-NRPC pour se connecter à un contrôleur de domaine afin d'obtenir un accès administrateur de domaine.
Dans la samba, vulnérabilité apparaît uniquement sur les systèmes qui n'utilisent pas le paramètre "server schannel = yes", qui est la valeur par défaut depuis Samba 4.8.
En particulier, les systèmes avec les paramètres "server schannel = no" et "server schannel = auto" peuvent être compromis, ce qui permet à Samba d'utiliser les mêmes failles dans l'algorithme AES-CFB8 que dans Windows.
Lors de l'utilisation du prototype de référence d'exploit prêt pour Windows, seul l'appel ServerAuthenticate3 se déclenche dans Samba et l'opération ServerPasswordSet2 échoue (l'exploit nécessite une adaptation pour Samba).
C'est pourquoi les développeurs de Samba invitent les utilisateurs qui ont fait le changement serveur schannel = oui sur "non" ou "auto", revenez au paramètre par défaut "oui" et évitez ainsi le problème de vulnérabilité.
Rien n'a été signalé sur les performances des exploits alternatifs, bien que les tentatives d'attaque des systèmes puissent être suivies en analysant la présence d'entrées avec la mention de ServerAuthenticate3 et ServerPasswordSet dans les journaux d'audit de Samba.
Microsoft s'attaque à la vulnérabilité dans un déploiement en deux phases. Ces mises à jour corrigent la vulnérabilité en modifiant la façon dont Netlogon gère l'utilisation des canaux sécurisés Netlogon.
Lorsque la deuxième phase des mises à jour Windows sera disponible au premier trimestre 2021, les clients seront informés via un correctif pour cette vulnérabilité de sécurité.
Enfin, pour ceux qui utilisent les versions précédentes de samba, effectuez la mise à jour pertinente vers la dernière version stable de samba ou choisissez d'appliquer les correctifs correspondants pour résoudre cette vulnérabilité.
Samba a une certaine protection pour ce problème car depuis Samba 4.8, nous avons une valeur par défaut de «serveur schannel = yes».
Les utilisateurs qui ont changé cette valeur par défaut sont informés que Samba implémente fidèlement le protocole netlogon AES et tombe donc sous la même faille de conception de cryptosystème.
Les fournisseurs qui prennent en charge Samba 4.7 et les versions antérieures doivent patcher leurs installations et leurs packages pour changer cette valeur par défaut.
Ils ne sont PAS sécurisés et nous espérons qu'ils peuvent entraîner une compromission complète du domaine, en particulier pour les domaines AD.
Enfin, si vous souhaitez en savoir plus à propos de cette vulnérabilité, vous pouvez consulter les annonces faites par l'équipe de samba (dans ce lien) ou également par Microsoft (ce lien).