Samba projekta izstrādātāji atklāja nesen, izmantojot paziņojumu lietotājiem par «ZeroLogin» ievainojamības atklāšana sistēmā Windows (CVE-2020-1472), un tas arī se izpaužas ieviešanā no domēna kontrollera pamatojoties uz Samba.
Neaizsargātība izraisa kļūmes MS-NRPC protokolā un AES-CFB8 kriptogrāfijas algoritms, un, ja tas tiek veiksmīgi izmantots, uzbrucējs ļauj iegūt administratora tiesības uz domēna kontrolleri.
Ievainojamības būtība ir tas, ka MS-NRPC (Netlogon attālais protokols) ļauj veikt autentifikācijas datu apmaiņu izmantot RPC savienojumu nav šifrēšanas.
Pēc tam uzbrucējs var izmantot AES-CFB8 algoritma trūkumu, lai pievilinātu (apmānītu) veiksmīgu pieteikšanos. Nepieciešami aptuveni 256 mānīšanas mēģinājumi vidēji pieteikties ar administratora tiesībām.
Uzbrukumam nav nepieciešams darbojošs konts domēna kontrollerī; Uzdošanās par mēģinājumiem var notikt ar nepareizu paroli.
NTLM autentifikācijas pieprasījums tiks novirzīts uz domēna kontrolleri, kas atgūs piekļuves liegumu, taču uzbrucējs var izkrāpt šo atbildi, un uzbruktā sistēma uzskatīs, ka pieteikšanās ir veiksmīga.
Privilēģiju paaugstināta līmeņa ievainojamība pastāv, kad uzbrucējs izveido ievainojamu Netlogon drošā kanāla savienojumu ar domēna kontrolleri, izmantojot Netlogon attālo protokolu (MS-NRPC). Uzbrucējs, kurš veiksmīgi izmantoja ievainojamību, tīkla ierīcē varēja palaist speciāli izstrādātu lietojumprogrammu.
Lai izmantotu ievainojamību, neatļautam uzbrucējam būtu jāizmanto MS-NRPC, lai izveidotu savienojumu ar domēna kontrolleri, lai iegūtu piekļuvi domēna administratoram.
Sambā, ievainojamība parādās tikai sistēmās, kurās neizmanto iestatījumu "servera kanāls = jā", kas ir noklusējums kopš Samba 4.8.
Jo īpaši Sistēmas ar iestatījumiem "server schannel = no" un "server schannel = auto" var tikt apdraudētas, kas ļauj Samba izmantot tos pašus trūkumus AES-CFB8 algoritmā kā sistēmā Windows.
Izmantojot Windows lietošanai gatavu izmantošanas atsauces prototipu, Samba tiek aktivizēts tikai ServerAuthenticate3 izsaukums, un operācija ServerPasswordSet2 neizdodas (ekspluatācijai ir jāpielāgo Samba).
Tāpēc Samba izstrādātāji aicina lietotājus, kuri ir veikuši izmaiņas servera kanāls = jā uz "nē" vai "automātisks", atgriezieties pie noklusējuma iestatījuma "jā" un tādējādi izvairieties no ievainojamības problēmas.
Nekas netika ziņots par alternatīvo izmantojumu veiktspēju, lai gan mēģinājumus uzbrukt sistēmām var izsekot, analizējot ierakstu klātbūtni, pieminot ServerAuthenticate3 un ServerPasswordSet Samba audita žurnālos.
Microsoft novērš ievainojamību divfāžu izvietošanā. Šie atjauninājumi novērš ievainojamību, mainot veidu, kā Netlogon rīkojas ar Netlogon drošo kanālu izmantošanu.
Kad 2021. gada XNUMX. ceturksnī būs pieejama Windows atjauninājumu otrā fāze, klienti tiks informēti, izmantojot ielāpu par šo drošības ievainojamību.
Visbeidzot, tiem, kas izmanto iepriekšējās samba versijas, veiciet atbilstošo jaunākās stabilās samba versijas atjaunināšanu vai izvēlieties piemērot atbilstošos ielāpus, lai novērstu šo ievainojamību.
Sambai ir zināma aizsardzība pret šo problēmu, jo kopš Samba 4.8 mums pēc noklusējuma ir “servera kanāls = jā”.
Lietotājiem, kuri ir mainījuši šo noklusējumu, ieteicams, lai Samba uzticīgi īsteno netlogon AES protokolu un tādējādi nonāk pie tā paša kriptosistēmas dizaina trūkuma.
Pakalpojumu sniedzējiem, kas atbalsta Samba 4.7 un vecākas versijas, ir jānovieto savas instalācijas un pakotnes, lai mainītu šo noklusējumu.
Tie NAV droši, un mēs ceram, ka tie var radīt pilnīgu domēnu kompromisu, īpaši AD domēniem.
Visbeidzot, ja jūs interesē uzzināt vairāk par to par šo ievainojamību varat pārbaudīt samba komandas paziņojumus (šajā saitē) vai arī Microsoft (šo saiti).