Sambaプロジェクトの開発者が発表 最近、ユーザーへの発表を通じて «ZeroLogin»の脆弱性の発見 Windows(CVE-2020-1472)で、それもeは実装で明らかになりました ドメインコントローラーから Sambaに基づいています。
脆弱性 MS-NRPCプロトコルのグリッチが原因です AES-CFB8暗号化アルゴリズムは、悪用に成功した場合、攻撃者がドメインコントローラーの管理者権限を取得できるようにします。
脆弱性の本質 そのMS-NRPC(Netlogonリモートプロトコル)です 認証データ交換を可能にします RPC接続を使用することに頼る 暗号化なし。
攻撃者は、AES-CFB8アルゴリズムの欠陥を悪用して、ログインの成功をスプーフィング(スプーフィング)する可能性があります。 約256回のなりすましの試みが必要です 平均して管理者権限でログインします。
攻撃には、ドメインコントローラーの有効なアカウントは必要ありません; 偽装の試みは、間違ったパスワードで行われる可能性があります。
NTLM認証要求はドメインコントローラーにリダイレクトされ、アクセス拒否が返されますが、攻撃者はこの応答をスプーフィングする可能性があり、攻撃されたシステムはログインが成功したと見なします。
特権の昇格の脆弱性は、攻撃者がNetlogonリモートプロトコル(MS-NRPC)を使用して、ドメインコントローラーへの脆弱なNetlogonセキュアチャネル接続を確立するときに存在します。 攻撃者がこの脆弱性を悪用した場合、ネットワークデバイス上で特別に細工されたアプリケーションを実行する可能性があります。
この脆弱性を悪用するには、認証されていない攻撃者がMS-NRPCを使用してドメインコントローラーに接続し、ドメイン管理者アクセスを取得する必要があります。
サンバで、脆弱性 「serverschannel = yes」設定を使用しないシステムにのみ表示されます。 これはSamba4.8以降のデフォルトです。
特に 「serverschannel = no」および「serverschannel = auto」設定のシステムは危険にさらされる可能性があります、これにより、SambaはAES-CFB8アルゴリズムでWindowsと同じ欠陥を使用できるようになります。
Windows対応のエクスプロイト参照プロトタイプを使用する場合、SambaではServerAuthenticate3呼び出しのみが発生し、ServerPasswordSet2操作は失敗します(エクスプロイトにはSambaへの適応が必要です)。
そのため、Samba開発者は、に変更を加えたユーザーを招待します。 サーバーチャネル=はい 「いいえ」または「自動」に設定すると、デフォルト設定の「はい」に戻り、脆弱性の問題を回避できます。
システムを攻撃する試みは、Samba監査ログにServerAuthenticate3とServerPasswordSetが記載されているエントリの存在を分析することで追跡できますが、代替エクスプロイトのパフォーマンスについては何も報告されていません。
マイクロソフトは、XNUMXフェーズ展開の脆弱性に対処しています。 これらの更新は、NetlogonがNetlogonセキュアチャネルの使用を処理する方法を変更することにより、脆弱性に対処します。
2021年第XNUMX四半期にWindowsUpdateの第XNUMXフェーズが利用可能になると、このセキュリティの脆弱性に対するパッチを通じてお客様に通知されます。
最後に、以前のバージョンのsambaを使用している場合は、最新の安定バージョンのsambaに適切な更新を実行するか、対応するパッチを適用してこの脆弱性を解決することを選択してください。
Samba 4.8以降、デフォルト値は「server schannel = yes」であるため、Sambaにはこの問題に対するある程度の保護があります。
このデフォルトを変更したユーザーは、Sambaがnetlogon AESプロトコルを忠実に実装しているため、同じ暗号システムの設計上の欠陥に該当することをお勧めします。
Samba 4.7以前のバージョンをサポートするプロバイダーは、このデフォルトを変更するために、インストールとパッケージにパッチを適用する必要があります。
これらは安全ではなく、特にADドメインの場合、ドメインが完全に侵害される可能性があることを願っています。
最後に、 あなたがそれについてもっと知りたいのなら この脆弱性については、sambaチームによる発表を確認できます。 (このリンクで)またはMicrosoft(このリンク).