Predstavljeni programeri projekta Samba nedavno putem najave korisnicima o otkriće ranjivosti «ZeroLogin» u sustavu Windows (CVE-2020-1472) i to također sOčitovalo se u provedbi s kontrolera domene temeljen na Sambi.
Ranjivost je uzrokovana greškama u MS-NRPC protokolu i kripto algoritam AES-CFB8, i ako se uspješno iskoristi, omogućuje napadaču stjecanje administratorskih prava na kontroleru domene.
Bit ranjivosti je taj MS-NRPC (Netlogon Remote Protocol) omogućuje razmjenu podataka za provjeru autentičnosti pribjegavaju korištenju RPC veze nema šifriranja.
Tada napadač može iskoristiti manu u algoritmu AES-CFB8 kako bi podvalio (lažirao) uspješnu prijavu. Potrebno je približno 256 pokušaja lažnog predstavljanja za prosječnu prijavu s administratorskim pravima.
Za napad nije potreban radni račun na kontroleru domene; Pokušaji lažnog predstavljanja mogu se izvršiti s netočnom lozinkom.
Zahtjev za provjeru autentičnosti NTLM bit će preusmjeren na kontroler domene, što će mu vratiti odbijeni pristup, ali napadač može lažno odgovoriti i napadnuti sustav smatrat će prijavu uspješnom.
Povišenje ranjivosti privilegija postoji kada napadač uspostavi ranjivu Netlogon sigurnu vezu kanala s kontrolorom domene, koristeći Netlogon Remote Protocol (MS-NRPC). Napadač koji je uspješno iskoristio ranjivost mogao je pokrenuti posebno izrađenu aplikaciju na mrežnom uređaju.
Da bi iskoristio ranjivost, neautorizirani napadač trebao bi koristiti MS-NRPC za povezivanje s kontrolorom domene kako bi stekao pristup administratoru domene.
U Sambi, ranjivost pojavljuje se samo na sustavima koji ne koriste postavku "server schannel = yes", što je zadano od Sambe 4.8.
Osobito sustavi s postavkama "server schannel = no" i "server schannel = auto" mogu biti ugroženi, koji Sambi omogućuje korištenje istih mana u algoritmu AES-CFB8 kao i u sustavu Windows.
Kada se koristi referentni prototip exploit-a spreman za Windows, samo se poziv ServerAuthenticate3 aktivira u Sambi i operacija ServerPasswordSet2 ne uspijeva (exploit zahtijeva prilagodbu za Sambu).
Zbog toga programeri Samba pozivaju korisnike koji su unijeli promjenu u server poslužitelja = da na "ne" ili "automatski", vratite se na zadanu postavku "da" i time izbjegnite problem ranjivosti.
Nije zabilježeno ništa o izvedbi alternativnih iskorištavanja, iako se pokušaji napada na sustave mogu pratiti analizom prisutnosti unosa uz spominjanje ServerAuthenticate3 i ServerPasswordSet u Samba dnevnicima revizije.
Microsoft rješava ranjivost u dvofaznoj implementaciji. Ova ažuriranja rješavaju ranjivost mijenjanjem načina na koji Netlogon rukuje upotrebom sigurnih kanala Netlogon.
Kada je druga faza ažuriranja za Windows dostupna u prvom kvartalu 2021., kupci će biti obaviješteni putem zakrpe za ovu sigurnosnu ranjivost.
Konačno, za one koji su korisnici prethodnih verzija sambe, izvedite odgovarajuće ažuriranje na najnoviju stabilnu verziju sambe ili odlučite primijeniti odgovarajuće zakrpe kako biste riješili ovu ranjivost.
Samba ima određenu zaštitu za ovaj problem jer od Sambe 4.8 imamo zadanu vrijednost 'server schannel = yes'.
Korisnici koji su promijenili ovu zadanu upozoravaju se da Samba vjerno implementira netlogon AES protokol i tako spada u istu grešku u dizajnu kriptosustava.
Davatelji koji podržavaju Samba 4.7 i starije verzije moraju zakrpati svoje instalacije i pakete kako bi promijenili ovu zadanu postavku.
NISU sigurni i nadamo se da mogu rezultirati potpunim kompromisom domene, posebno za AD domene.
konačno, ako vas zanima više o tome o ovoj ranjivosti možete provjeriti najave koje je dao tim sambe (na ovom linku) ili također od strane Microsofta (ovaj link).