Pristatė projekto „Samba“ kūrėjai neseniai paskelbus vartotojams apie „ZeroLogin“ pažeidžiamumo atradimas sistemoje „Windows“ (CVE-2020-1472) ir tai taip pat se pasireiškė įgyvendinimu iš domeno valdiklio remiantis Samba.
Pažeidžiamumas sukelia MS-NRPC protokolo trikdžiai ir AES-CFB8 šifravimo algoritmas, ir jei jis bus sėkmingai naudojamas, užpuolikas gali įgyti domeno valdiklio administratoriaus teises.
Pažeidžiamumo esmė yra ta MS-NRPC („Netlogon“ nuotolinis protokolas) leidžia keistis autentifikavimo duomenimis pasinaudoti RPC ryšiu nėra šifravimo.
Užpuolikas gali pasinaudoti AES-CFB8 algoritmo trūkumu, kad suklastotų (suklastotų) sėkmingą prisijungimą. Tai užtrunka maždaug 256 sukčiavimo bandymus vidutiniškai prisijungti su administratoriaus teisėmis.
Atakai nereikia veikiančios paskyros domeno valdiklyje; Apsimetinėjimas gali būti bandomas naudojant neteisingą slaptažodį.
NTLM autentifikavimo užklausa bus peradresuota į domeno valdiklį, kuris grąžins prieigą, uždraustą, tačiau užpuolikas gali suklastoti šį atsakymą ir užpulta sistema pripažins prisijungimą sėkmingu.
Privilegijų pažeidžiamumas padidėja, kai užpuolikas užmezga pažeidžiamą „Netlogon“ saugaus kanalo ryšį su domeno valdikliu naudodamas „Netlogon“ nuotolinį protokolą (MS-NRPC). Užpuolikas, sėkmingai išnaudojęs pažeidžiamumą, tinklo įrenginyje gali paleisti specialiai sukurtą programą.
Norint išnaudoti pažeidžiamumą, neautentifikuotas užpuolikas turės naudoti MS-NRPC prisijungti prie domeno valdiklio, kad gautų domeno administratoriaus prieigą.
Samboje, pažeidžiamumas rodomas tik sistemose, kuriose nenaudojamas parametras „server schannel = yes“, kuris yra numatytasis nuo Samba 4.8.
Visų pirma gali būti pažeistos sistemos, kurių nustatymai „serverio kanalas = ne“ ir „serverio schannel = auto“, kuris leidžia „Samba“ naudoti tuos pačius AES-CFB8 algoritmo trūkumus kaip „Windows“.
Naudojant „Windows“ parengtą išnaudoti nuorodos prototipą, „Samba“ suveikia tik „ServerAuthenticate3“ iškvietimas, o „ServerPasswordSet2“ operacija nepavyksta (išnaudojimui reikia pritaikyti „Samba“).
Štai kodėl „Samba“ kūrėjai kviečia vartotojus, kurie pakeitė serverio kanalas = taip į „ne“ arba „auto“, grįžkite į numatytąjį nustatymą „taip“ ir taip išvengsite pažeidžiamumo problemos.
Nieko nebuvo pranešta apie alternatyvių išnaudojimų veikimą, nors bandymus atakuoti sistemas galima stebėti analizuojant įrašus, kuriuose minimas ServerAuthenticate3 ir ServerPasswordSet Samba audito žurnaluose.
„Microsoft“ sprendžia dviejų etapų diegimo pažeidžiamumą. Šie naujinimai pašalina pažeidžiamumą pakeisdami „Netlogon“ tvarkymo būdus, kaip naudotis „Netlogon“ saugiais kanalais.
Kai 2021 m. Pirmąjį ketvirtį bus prieinamas antrasis „Windows“ naujinimų etapas, klientams bus pranešta per pataisą už šį saugos pažeidžiamumą.
Galiausiai tiems, kurie naudojasi ankstesnėmis „samba“ versijomis, atlikite atitinkamą naujausios stabilios „samba“ versijos atnaujinimą arba pasirinkite pritaikyti atitinkamus pleistrus, kad pašalintumėte šį pažeidžiamumą.
„Samba“ turi tam tikrą šios problemos apsaugą, nes nuo „Samba 4.8“ numatytoji reikšmė yra „server schannel = yes“.
Vartotojai, pakeitę šį numatytąjį nustatymą, įspėjami, kad „Samba“ teisingai įgyvendina „Netlogon“ AES protokolą ir taip patenka į tą patį kriptosistemos dizaino trūkumą.
Teikėjai, palaikantys „Samba 4.7“ ir ankstesnes versijas, turi pataisyti savo diegimus ir paketus, kad pakeistų šį numatytąjį.
Jie NĖRA saugūs ir tikimės, kad jie gali sukelti visišką domeno kompromisą, ypač AD domenams.
Galiausiai, jei norite sužinoti daugiau apie tai apie šį pažeidžiamumą galite patikrinti sambos komandos pranešimus (šioje nuorodoje) arba „Microsoft“ (ši nuoroda).