מפתחי פרויקט סמבה נחשפו לאחרונה באמצעות הודעה למשתמשים על גילוי הפגיעות של "ZeroLogin" ב- Windows (CVE-2020-1472) וזה גם סבא לידי ביטוי ביישום מבקר תחום מבוסס על סמבה.
פגיעות נגרמת כתוצאה מתקלות בפרוטוקול MS-NRPC ואלגוריתם ההצפנה AES-CFB8, ואם הוא מנוצל בהצלחה, מאפשר לתוקף להשיג זכויות מנהל בבקר תחום.
מהות הפגיעות הוא כי MS-NRPC (פרוטוקול מרחוק של Netlogon) מאפשר החלפת נתוני אימות להיעזר בחיבור RPC ללא הצפנה.
לאחר מכן תוקף יכול לנצל פגם באלגוריתם AES-CFB8 כדי לזייף (לזייף) כניסה מוצלחת. נדרשים כ- 256 ניסיונות זיוף להיכנס עם זכויות מנהל בממוצע.
ההתקפה אינה דורשת חשבון עובד בבקר התחום; ניתן לבצע ניסיונות התחזות באמצעות סיסמה שגויה.
בקשת האימות של NTLM תנותב לבקר התחום, שיחזיר את הגישה שנדחתה, אך התוקף יכול לזייף תגובה זו והמערכת המותקפת תחשב בהתחברות מוצלחת.
פגיעות של הרשאות קיימת כאשר תוקף מקים חיבור ערוץ מאובטח של Netlogon לבקר תחום, באמצעות הפרוטוקול המרוחק של Netlogon (MS-NRPC). תוקף שניצל את הפגיעות בהצלחה יכול להריץ יישום בעל מבנה מיוחד בהתקן רשת.
כדי לנצל את הפגיעות, תוקף לא מאומת יידרש להשתמש ב- MS-NRPC כדי להתחבר לבקר תחום כדי לקבל גישה למנהל הדומיין.
בסמבה, פגיעות מופיע רק במערכות שאינן משתמשות בהגדרת "שרת ערוץ = כן", שהוא ברירת המחדל מאז סמבה 4.8.
בפרט מערכות עם הגדרות "שרת schannel = no" ו- "schannel schannel = auto" יכולות להתפשר, המאפשר לסמבה להשתמש באותם פגמים באלגוריתם AES-CFB8 כמו ב- Windows.
בעת שימוש באב-טיפוס הפניה לניצול מוכן ל- Windows, רק שיחות ServerAuthenticate3 מופעלות בסמבה ופעולת ServerPasswordSet2 נכשלת (הניצול דורש התאמה עבור סמבה).
זו הסיבה שמפתחי סמבה מזמינים משתמשים שעשו את השינוי schannel שרת = כן ל"לא "או" אוטומטי ", חזור להגדרת ברירת המחדל" כן "ובכך הימנע מבעיית הפגיעות.
שום דבר לא דווח על ביצועי ניצולים אלטרנטיביים, אם כי ניתן לעקוב אחר ניסיונות לתקוף מערכות על ידי ניתוח הנוכחות של רשומות תוך אזכור ServerAuthenticate3 ו- ServerPasswordSet ביומני הביקורת של Samba.
מיקרוסופט מטפלת בפגיעות בפריסה דו-שלבית. עדכונים אלה מטפלים בפגיעות על ידי שינוי האופן בו Netlogon מטפל בשימוש בערוצים המאובטחים של Netlogon.
כאשר השלב השני של עדכוני Windows יהיה זמין ברבעון הראשון של שנת 2021, הלקוחות יקבלו הודעה באמצעות תיקון בנושא פגיעות אבטחה זו.
לבסוף, עבור המשתמשים בגרסאות סמבה קודמות, בצע את העדכון הרלוונטי לגרסה היציבה האחרונה של סמבה או בחר ליישם את התיקונים המתאימים כדי לפתור את הפגיעות הזו.
לסמבה יש הגנה מסויימת לבעיה זו מכיוון שמאז סמבה 4.8 יש לנו ערך ברירת מחדל של 'schannel server = yes'.
משתמשים אשר שינו ברירת מחדל זו מזהירים כי סמבה מיישם את פרוטוקול AES של netlogon בנאמנות ובכך נופל לאותה פגם בעיצוב הקריפטה.
ספקים התומכים ב- Samba 4.7 ובגירסאות קודמות חייבים לתקן את ההתקנות והחבילות שלהם כדי לשנות ברירת מחדל זו.
הם אינם מאובטחים ואנו מקווים שהם יכולים לגרום לפשרה מלאה בתחום, במיוחד עבור תחומי AD.
לבסוף, אם אתה מעוניין לדעת יותר על כך לגבי פגיעות זו תוכלו לבדוק את ההודעות שהעביר צוות הסמבה (בקישור זה) או גם על ידי מיקרוסופט (הקישור הזה).