De ontwikkelaars van het Samba-project onthuld onlangs via een aankondiging aan gebruikers over de ontdekking van een «ZeroLogin» -kwetsbaarheid in Windows (CVE-2020-1472) en dat is ook se gemanifesteerd in de implementatie vanaf een domeincontroller gebaseerd op Samba.
Kwetsbaarheid wordt veroorzaakt door fouten in het MS-NRPC-protocol en het AES-CFB8 crypto-algoritme, en als het met succes wordt misbruikt, kan een aanvaller beheerdersrechten krijgen op een domeincontroller.
De essentie van kwetsbaarheid is dat MS-NRPC (Netlogon Remote Protocol) maakt uitwisseling van authenticatiegegevens mogelijk toevlucht nemen tot het gebruik van een RPC-verbinding geen versleuteling.
Een aanvaller kan vervolgens een fout in het AES-CFB8-algoritme misbruiken om een geslaagde login te vervalsen (spoofen). Er zijn ongeveer 256 spoofing-pogingen vereist om gemiddeld met beheerdersrechten in te loggen.
Voor de aanval is geen werkaccount op de domeincontroller vereist Pogingen tot nabootsing van identiteit kunnen worden gedaan met een onjuist wachtwoord.
Het NTLM-verificatieverzoek wordt doorgestuurd naar de domeincontroller, die de toegang geweigerd teruggeeft, maar de aanvaller kan dit antwoord vervalsen en het aangevallen systeem beschouwt de aanmelding als geslaagd.
Er bestaat een beveiligingslek met betrekking tot misbruik van bevoegdheden wanneer een aanvaller een kwetsbare Netlogon-beveiligde kanaalverbinding tot stand brengt met een domeincontroller met behulp van het Netlogon Remote Protocol (MS-NRPC). Een aanvaller die misbruik weet te maken van het beveiligingslek, kan een speciaal vervaardigde toepassing op een netwerkapparaat uitvoeren.
Om misbruik te maken van het beveiligingslek, moet een niet-geverifieerde aanvaller MS-NRPC gebruiken om verbinding te maken met een domeincontroller om toegang tot domeinbeheerder te krijgen.
In Samba, kwetsbaarheid wordt alleen weergegeven op systemen die de instelling "server schannel = yes" niet gebruiken, wat de standaard is sinds Samba 4.8.
En in het bijzonder, systemen met de instellingen "server schannel = no" en "server schannel = auto" kunnen gecompromitteerd worden, waardoor Samba dezelfde fouten in het AES-CFB8-algoritme kan gebruiken als in Windows.
Bij gebruik van het Windows-ready exploit-referentieprototype, wordt alleen de ServerAuthenticate3-oproep geactiveerd in Samba en mislukt de ServerPasswordSet2-bewerking (de exploit vereist aanpassing voor Samba).
Dat is de reden waarom de Samba-ontwikkelaars gebruikers uitnodigen die de wijziging hebben aangebracht in server schannel = ja naar "nee" of "auto", keer terug naar de standaardinstelling "ja" en vermijd daarmee het kwetsbaarheidsprobleem.
Er werd niets gerapporteerd over de prestaties van alternatieve exploits, hoewel pogingen om systemen aan te vallen kunnen worden gevolgd door de aanwezigheid van vermeldingen te analyseren met de vermelding van ServerAuthenticate3 en ServerPasswordSet in de Samba-auditlogboeken.
Microsoft lost het beveiligingslek op in een implementatie in twee fasen. Deze updates verhelpen het beveiligingslek door de manier te wijzigen waarop Netlogon omgaat met het gebruik van beveiligde kanalen van Netlogon.
Wanneer de tweede fase van Windows-updates beschikbaar is in Q2021 XNUMX, worden klanten via een patch op de hoogte gebracht van dit beveiligingslek.
Ten slotte, voor degenen die gebruikers zijn van eerdere versies van samba, voer de relevante update uit naar de laatste stabiele versie van samba of kies ervoor om de overeenkomstige patches toe te passen om deze kwetsbaarheid op te lossen.
Samba heeft enige bescherming voor dit probleem omdat we sinds Samba 4.8 een standaardwaarde hebben van 'server schannel = yes'.
Gebruikers die deze standaard hebben gewijzigd, worden erop gewezen dat Samba het netlogon AES-protocol getrouw implementeert en dus op dezelfde ontwerpfout van het cryptosysteem valt.
Providers die Samba 4.7 en eerdere versies ondersteunen, moeten hun installaties en pakketten patchen om deze standaard te wijzigen.
Ze zijn NIET veilig en we hopen dat ze kunnen resulteren in een volledig compromitteren van het domein, met name voor AD-domeinen.
Tenslotte als u er meer over wilt weten over deze kwetsbaarheid kun je de aankondigingen van het samba-team bekijken (in deze link) of ook door Microsoft (deze link).