A Windows Netlog ZeroLogin biztonsági rése a Sambát is érinti

A Samba projekt fejlesztői bemutatták a közelmúltban a felhasználóknak szóló értesítés útján a «ZeroLogin» sebezhetőség felfedezése a Windows rendszerben (CVE-2020-1472), és ez szintén se a megvalósításban nyilvánul meg tartományvezérlőtől Samba alapján.

Sebezhetőség az MS-NRPC protokoll hibái okozzák és az AES-CFB8 titkosítási algoritmus, és sikeres kihasználása esetén a támadó rendszergazdai jogokat szerezhet egy tartományvezérlőn.

A kiszolgáltatottság lényege az, hogy az MS-NRPC (Netlogon Remote Protocol) lehetővé teszi a hitelesítési adatcserét igénybe vesz egy RPC kapcsolatot nincs titkosítás.

Ezután a támadó kihasználhatja az AES-CFB8 algoritmus hibáját a sikeres bejelentkezés elcsalására (hamisítására). Körülbelül 256 hamisításra van szükség átlagosan rendszergazdai jogokkal jelentkezzen be.

A támadáshoz nincs szükség működő fiókra a tartományvezérlőn; A megszemélyesítési kísérletek helytelen jelszóval történhetnek.

Az NTLM hitelesítési kérelem át lesz irányítva a tartományvezérlőhöz, amely visszatér a hozzáférés megtagadásához, de a támadó meghamisíthatja ezt a választ, és a támadott rendszer sikeresnek fogja tekinteni a bejelentkezést.

A jogosultsági fokozatú biztonsági rés akkor áll fenn, amikor a támadó a Netlogon biztonságos csatornacsatlakozást hoz létre egy tartományvezérlőhöz a Netlogon távoli protokoll (MS-NRPC) használatával. A biztonsági rést sikeresen kihasználó támadó futtathat egy speciálisan kialakított alkalmazást egy hálózati eszközön.

A biztonsági rés kihasználásához egy nem hitelesített támadónak az MS-NRPC segítségével kell csatlakoznia egy tartományvezérlőhöz a tartományi rendszergazdai hozzáférés megszerzéséhez.

Samban, sebezhetőség csak azokon a rendszereken jelenik meg, amelyek nem használják a "server schannel = yes" beállítást, ami a Samba 4.8 óta az alapértelmezett.

Különösen a "server schannel = no" és a "server schannel = auto" beállításokkal rendelkező rendszerek sérülhetnek, amely lehetővé teszi a Samba számára, hogy ugyanazokat a hibákat használja az AES-CFB8 algoritmusban, mint a Windows rendszerben.

A Windows használatra kész referencia prototípus használatakor csak a ServerAuthenticate3 hívás indul el a Samban, és a ServerPasswordSet2 művelet nem sikerül (a kihasználás adaptációt igényel a Samba számára).

Ezért hívják meg a Samba fejlesztői azokat a felhasználókat, akik változtattak rajta szerver schannel = igen  "nem" vagy "automatikus" értékre állítsa vissza az alapértelmezett "igen" beállítást, és ezzel elkerülje a biztonsági rés problémáját.

Semmi nem számolt be az alternatív kihasználások teljesítményéről, bár a rendszerek támadására tett kísérletek nyomon követhetők a bejegyzések jelenlétének elemzésével, a ServerAuthenticate3 és a ServerPasswordSet megemlítésével a Samba naplózási naplóiban.

A Microsoft kétfázisú telepítéssel foglalkozik a biztonsági réssel. Ezek a frissítések a biztonsági rés megszüntetése érdekében módosítják a Netlogon biztonságos Netlogon csatornák használatának kezelését.

Amikor a Windows frissítések második fázisa 2021 első negyedévében elérhető lesz, az ügyfeleket javítással értesítik erről a biztonsági résről. 

Végül azok számára, akik a samba korábbi verzióinak felhasználói, hajtsák végre a megfelelő frissítést a samba legújabb stabil verziójára, vagy döntsenek a megfelelő javítások alkalmazásával a biztonsági rés megoldása érdekében.

A Samba rendelkezik némi védelemmel erre a problémára, mert a Samba 4.8 óta alapértelmezett értéke a "server schannel = yes".

Azoknak a felhasználóknak, akik megváltoztatták ezt az alapértelmezett beállítást, azt javasoljuk, hogy a Samba hűségesen hajtsa végre a netlogon AES protokollt, és így ugyanazon kriptorendszer-tervezési hibára essen.

Azoknak a szolgáltatóknak, amelyek támogatják a Samba 4.7-et és a korábbi verziókat, javítaniuk kell telepítéseiket és csomagjaikat az alapértelmezett beállítás megváltoztatásához.

NEM biztonságosak, és reméljük, hogy teljes tartományi kompromisszumot eredményezhetnek, különösen az AD domainek esetében.

Végül, a ha érdekel, hogy többet tudjon meg róla erről a biztonsági résről ellenőrizheti a samba csapat bejelentéseit (ezen a linken) vagy a Microsoft (ez a kapcsolat).


A cikk tartalma betartja a szerkesztői etika. A hiba bejelentéséhez kattintson a gombra itt.

Legyen Ön az első hozzászóló

Hagyja megjegyzését

E-mail címed nem kerül nyilvánosságra.

*

*

  1. Az adatokért felelős: Miguel Ángel Gatón
  2. Az adatok célja: A SPAM ellenőrzése, a megjegyzések kezelése.
  3. Legitimáció: Az Ön beleegyezése
  4. Az adatok közlése: Az adatokat csak jogi kötelezettség alapján továbbítjuk harmadik felekkel.
  5. Adattárolás: Az Occentus Networks (EU) által üzemeltetett adatbázis
  6. Jogok: Bármikor korlátozhatja, helyreállíthatja és törölheti adatait.