Nesen tika izlaisti labojumu pakotņu atjauninājumi dažādām Samba versijām, kuras bija versijas 4.15.2, 4.14.10 un 4.13.14, viņi ieviesa izmaiņas, kas ietver 8 ievainojamību novēršanu, no kurām lielākā daļa var novest pie pilnīga Active Directory domēna kompromisa.
Jāpiebilst, ka viena no problēmām tika novērsta 2016. gadā, bet piecas no 2020. gada, lai gan viena labojuma rezultātā nevarēja palaist winbindd klātbūtnes iestatījumos «atļaut uzticamus domēnus = nē»(Izstrādātāji plāno nekavējoties izlaist citu atjauninājumu remontam).
Šīs funkcijas var būt diezgan bīstamas nepareizās rokās, jo lietotājs qIkvienam, kurš izveido šādus kontus, ir plašas privilēģijas ne tikai tos izveidot un iestatiet savas paroles, bet vēlāk pārdēvējiet tās ar vienīgais ierobežojums ir tāds, ka tie var neatbilst esošajam samAccountName.
Kad Samba darbojas kā AD domēna dalībnieks un pieņem Kerberos biļeti, tam tas ir jādara kartē atrasto informāciju ar vietējo UNIX lietotāja ID (uid). Šis pašlaik tiek darīts, izmantojot konta nosaukumu Active Directory Ģenerēts Kerberos priviliģētā atribūta sertifikāts (PAC) vai konta nosaukums uz biļetes (ja nav PAC).
Piemēram, Samba mēģinās atrast lietotāju "DOMAIN \ user" iepriekš ķerties pie mēģinājuma atrast lietotāju "lietotājs". Ja DOMAIN \ lietotāja meklēšana var neizdoties, tad privilēģija kāpšana ir iespējama.
Tiem, kam Samba nav sveša, jums jāzina, ka šis ir projekts, kas turpina filiāles Samba 4.x izstrādi, pilnībā ieviešot domēna kontrolleri un Active Directory pakalpojumu, kas ir saderīgs ar Windows 2000 ieviešanu un spēj apkalpot visas versijas. no Microsoft atbalstītajiem Windows klientiem, ieskaitot Windows 10.
Samba 4, ir daudzfunkcionāls servera produkts, kas nodrošina arī failu servera, drukas pakalpojuma un autentifikācijas servera (winbind) ieviešanu.
No ievainojamībām, kas tika novērstas izlaistajos atjauninājumos, ir minētas šādas:
- CVE-2020-25717- Tā kā domēna lietotāju kartēšanas loģikā ir kļūdas lokālās sistēmas lietotājiem, Active Directory domēna lietotājs, kuram ir iespēja savā sistēmā izveidot jaunus kontus, kas tiek pārvaldīti, izmantojot ms-DS-MachineAccountQuota, var iegūt root piekļuvi citām iekļautām sistēmām. domēnā.
- CVE-2021-3738- Piekļuve jau atbrīvotai atmiņas apgabalam (izmantot pēc atbrīvošanas) Samba AD DC RPC (dsdb) servera ieviešanā, kas, iespējams, var izraisīt privilēģiju eskalāciju, manipulējot ar savienojuma iestatījumiem.
CVE-2016-2124- Klientu savienojumus, kas izveidoti, izmantojot SMB1 protokolu, var nodot autentifikācijas parametru pārsūtīšanai vienkāršā tekstā vai izmantojot NTLM (piemēram, lai noteiktu akreditācijas datus MITM uzbrukumiem), pat ja lietotājs vai lietojumprogramma ir konfigurēta kā autentifikācija obligāta, izmantojot Kerberos. - CVE-2020-25722- Uz Samba balstītam Active Directory domēna kontrollerim netika veiktas atbilstošas piekļuves krātuvei pārbaudes, ļaujot jebkuram lietotājam apiet akreditācijas datus un pilnībā kompromitēt domēnu.
- CVE-2020-25718- Kerberos biļetes, ko izsniedzis RODC (tikai lasāms domēna kontrolleris), nebija pareizi izolētas no Samba balstītā Active Directory domēna kontrollera, ko varēja izmantot, lai iegūtu administratora biļetes no RODC bez pilnvarām.
- CVE-2020-25719- Samba bāzes Active Directory domēna kontrolleris ne vienmēr ņēma vērā SID un PAC laukus Kerberos biļetēs pakotnē (iestatot "gensec: request_pac = true", netika ņemts vērā tikai nosaukums un PAC), kas ļāva lietotājam, kurš tiesības izveidot kontus lokālajā sistēmā, uzdoties par citu domēna lietotāju, tostarp priviliģētu.
- CVE-2020-25721: Lietotājiem, kas autentificēti, izmantojot Kerberos, ne vienmēr tika izsniegti unikāli Active Directory identifikatori (objectSid), kas var izraisīt lietotāja un lietotāja krustojumus.
- CVE-2021-23192- MITM uzbrukuma laikā bija iespējams viltot fragmentus lielos DCE/RPC pieprasījumos, kas tika sadalīti vairākās daļās.
Visbeidzot, ja vēlaties uzzināt vairāk par to, varat uzzināt sīkāku informāciju šo saiti.