לאחרונה עדכוני חבילות תיקון שוחררו עבור גרסאות Samba שונות, שהיו הגרסאות 4.15.2, 4.14.10 ו- 4.13.14, הם הטמיעו שינויים הכוללים ביטול 8 פגיעויות, רובן יכולות להוביל לפשרה מוחלטת של תחום ה-Active Directory.
יש לציין שאחת הבעיות תוקנה ב-2016, וחמש, נכון ל-2020, אם כי תיקון אחד הביא לחוסר יכולת להפעיל את winbindd בהגדרות הנוכחות «אפשר דומיינים מהימנים = לא»(המפתחים מתכוונים לשחרר מיד עדכון נוסף לתיקון).
פונקציות אלה יכולות להיות די מסוכנות בידיים הלא נכונות, שכן המשתמש שלמי שיוצר חשבונות כאלה יש הרשאות נרחבות לא רק ליצור אותם ולהגדיר את הסיסמאות שלהם, אבל לשנות את שמם במועד מאוחר יותר עם ההגבלה היחידה היא שהם עשויים שלא להתאים ל-samAccountName קיים.
כאשר Samba פועל כחבר בדומיין AD ומקבל כרטיס Kerberos, הוא חייב ממפה את המידע שנמצא שם למזהה משתמש מקומי של UNIX (uid). זֶה מתבצע כעת באמצעות שם חשבון ב-Active Directory נוצר אישור תכונה מורשות Kerberos (PAC), או ה שם החשבון בכרטיס (אם אין PAC).
לדוגמה, Samba תנסה למצוא משתמש "DOMAIN \ user" לפני כן פונים לניסיון למצוא את המשתמש "משתמש". אם החיפוש אחר DOMAIN \ משתמש יכול להיכשל, אז הרשאה טיפוס אפשרי.
למי שלא מכיר את סמבה, עליכם לדעת שמדובר בפרויקט הממשיך את פיתוחו של סניף Samba 4.x עם יישום מלא של בקר תחום ושירות Active Directory, התואם ליישום Windows 2000 ומסוגל לשרת את כל הגרסאות. מלקוחות Windows הנתמכים על ידי מיקרוסופט, כולל Windows 10.
סמבה 4, הוא מוצר שרת רב תכליתי, המספק גם הטמעה של שרת קבצים, שירות הדפסה ושרת אימות (winbind).
מבין הפגיעויות שבוטלו בעדכונים שפורסמו, מוזכרות הבאות:
- CVE-2020-25717- עקב פגם בלוגיקה של מיפוי משתמשי דומיין למשתמשי מערכת מקומיים, משתמש דומיין Active Directory שיש לו את היכולת ליצור חשבונות חדשים במערכת שלו, המנוהלים באמצעות ms-DS-MachineAccountQuota, יכול לקבל גישת שורש למערכות אחרות הכלולות בתחום.
- CVE-2021-3738- גישה לאזור זיכרון שכבר פנוי (השתמש לאחר חינם) ביישום שרת Samba AD DC RPC (dsdb), מה שעלול להוביל להסלמה של הרשאות בעת מניפולציה של הגדרות החיבור.
CVE-2016-2124- חיבורי לקוח שנוצרו באמצעות פרוטוקול SMB1 יכולים להיות מועברים לשידור פרמטרי אימות בטקסט רגיל או באמצעות NTLM (לדוגמה, כדי לקבוע אישורים עבור התקפות MITM), גם אם המשתמש או האפליקציה מוגדרים כאימות חובה דרך Kerberos. - CVE-2020-25722- בדיקות גישה נאותות לאחסון לא בוצעו בבקר תחום Active Directory מבוסס Samba, מה שמאפשר לכל משתמש לעקוף אישורים ולסכן לחלוטין את הדומיין.
- CVE-2020-25718- כרטיסי Kerberos שהונפקו על ידי RODC (בקר תחום לקריאה בלבד) לא היו מבודדים כראוי לבקר תחום Active Directory מבוסס Samba, שניתן להשתמש בו כדי להשיג כרטיסים של מנהל מערכת מה-RODC ללא הסמכות לעשות זאת.
- CVE-2020-25719- בקר תחום Active Directory מבוסס Samba לא תמיד לקח בחשבון שדות SID ו-PAC בכרטיסי Kerberos בחבילה (כאשר הגדרת "gensec: require_pac = true", רק שם ו-PAC לא נלקח בחשבון), מה שאפשר למשתמש, שיש לו הזכות ליצור חשבונות במערכת המקומית, להתחזות למשתמש אחר בדומיין, כולל מיוחס.
- CVE-2020-25721: עבור משתמשים שאומתו באמצעות Kerberos, לא תמיד הונפקו מזהים ייחודיים עבור Active Directory (objectSid), מה שעלול להוביל לצמתים של משתמש-משתמש.
- CVE-2021-23192- במהלך מתקפת ה-MITM, ניתן היה לזייף קטעים בבקשות DCE / RPC גדולות שפוצלו למספר חלקים.
לבסוף, אם אתה מעוניין לדעת יותר על זה, אתה יכול לעיין בפרטים ב הקישור הבא.