Svelati gli sviluppatori del progetto Samba recentemente tramite un annuncio agli utenti su la scoperta di una vulnerabilità «ZeroLogin» in Windows (CVE-2020-1472) e anche quello se manifestato nell'implementazione da un controller di dominio basato su Samba.
Vulnerabilità è causato da anomalie nel protocollo MS-NRPC e l'algoritmo di crittografia AES-CFB8 e, se sfruttato con successo, consente a un utente malintenzionato di ottenere i diritti di amministratore su un controller di dominio.
L'essenza della vulnerabilità è che MS-NRPC (Netlogon Remote Protocol) consente lo scambio dei dati di autenticazione ricorrere all'uso di una connessione RPC nessuna crittografia.
Un utente malintenzionato può quindi sfruttare un difetto nell'algoritmo AES-CFB8 per falsificare (falsificare) un accesso riuscito. Sono necessari circa 256 tentativi di spoofing per accedere con i diritti di amministratore in media.
L'attacco non richiede un account funzionante sul controller di dominio; I tentativi di rappresentazione possono essere effettuati con una password errata.
La richiesta di autenticazione NTLM verrà reindirizzata al controller di dominio, che restituirà l'accesso negato, ma l'attaccante può falsificare questa risposta e il sistema attaccato considererà il login riuscito.
Esiste una vulnerabilità legata all'acquisizione di privilegi più elevati quando un utente malintenzionato stabilisce una connessione del canale protetto Accesso rete vulnerabile a un controller di dominio, utilizzando il protocollo MS-NRPC (Netlogon Remote Protocol). Un utente malintenzionato che ha sfruttato con successo la vulnerabilità potrebbe eseguire un'applicazione appositamente predisposta su un dispositivo di rete.
Per sfruttare la vulnerabilità, un utente malintenzionato non autenticato dovrebbe utilizzare MS-NRPC per connettersi a un controller di dominio e ottenere l'accesso come amministratore di dominio.
In Samba, vulnerabilità appare solo su sistemi che non utilizzano l'impostazione "server schannel = yes", che è l'impostazione predefinita a partire da Samba 4.8.
In particolare, i sistemi con le impostazioni "server schannel = no" e "server schannel = auto" possono essere compromessi, che consente a Samba di utilizzare gli stessi difetti nell'algoritmo AES-CFB8 di Windows.
Quando si utilizza il prototipo di riferimento dell'exploit pronto per Windows, solo la chiamata ServerAuthenticate3 si attiva in Samba e l'operazione ServerPasswordSet2 fallisce (l'exploit richiede l'adattamento per Samba).
Questo è il motivo per cui gli sviluppatori di Samba invitano gli utenti che hanno apportato la modifica a server schannel = sì su "no" o "auto", torna all'impostazione predefinita "sì" e quindi evita il problema di vulnerabilità.
Non è stato riportato nulla sulle prestazioni di exploit alternativi, sebbene i tentativi di attacco ai sistemi possano essere tracciati analizzando la presenza di voci con la menzione di ServerAuthenticate3 e ServerPasswordSet nei log di controllo di Samba.
Microsoft sta affrontando la vulnerabilità in una distribuzione in due fasi. Questi aggiornamenti risolvono la vulnerabilità modificando il modo in cui Netlogon gestisce l'utilizzo dei canali protetti di Netlogon.
Quando la seconda fase degli aggiornamenti di Windows sarà disponibile nel primo trimestre del 2021, i clienti riceveranno una notifica tramite una patch per questa vulnerabilità di sicurezza.
Infine, per coloro che sono utenti di versioni precedenti di samba, eseguire l'aggiornamento pertinente all'ultima versione stabile di samba o scegliere di applicare le patch corrispondenti per risolvere questa vulnerabilità.
Samba ha una certa protezione per questo problema perché a partire da Samba 4.8 abbiamo un valore predefinito di "server schannel = yes".
Gli utenti che hanno modificato questa impostazione predefinita sono avvertiti che Samba implementa fedelmente il protocollo AES netlogon e quindi cade nello stesso difetto di progettazione del sistema crittografico.
I provider che supportano Samba 4.7 e le versioni precedenti devono patchare le proprie installazioni e pacchetti per modificare questa impostazione predefinita.
NON sono sicuri e speriamo che possano comportare la compromissione dell'intero dominio, in particolare per i domini AD.
Infine, se sei interessato a saperne di più riguardo a questa vulnerabilità puoi controllare gli annunci fatti dal team di samba (in questo link) o anche da Microsoft (in questo link).