Przedstawiono twórców projektu Samba niedawno przez ogłoszenie dla użytkowników o wykrycie luki „ZeroLogin” w systemie Windows (CVE-2020-1472), a także se przejawiało się w realizacji z kontrolera domeny w oparciu o Sambę.
Słaby punkt jest spowodowane usterkami w protokole MS-NRPC oraz algorytm kryptograficzny AES-CFB8, który w przypadku pomyślnego wykorzystania umożliwia atakującemu uzyskanie praw administratora na kontrolerze domeny.
Istota wrażliwości czy to MS-NRPC (Netlogon Remote Protocol) umożliwia wymianę danych uwierzytelniających uciekać się do korzystania z połączenia RPC brak szyfrowania.
Osoba atakująca może następnie wykorzystać lukę w algorytmie AES-CFB8, aby sfałszować (sfałszować) udane logowanie. Wymaganych jest około 256 prób spoofingu logować się średnio z uprawnieniami administratora.
Atak nie wymaga działającego konta na kontrolerze domeny; Próby personifikacji mogą być podejmowane przy użyciu nieprawidłowego hasła.
Żądanie uwierzytelnienia NTLM zostanie przekierowane do kontrolera domeny, który zwróci odmowę dostępu, ale osoba atakująca może sfałszować tę odpowiedź, a zaatakowany system uzna logowanie za udane.
Luka w zabezpieczeniach umożliwiająca podniesienie uprawnień występuje, gdy osoba atakująca ustanawia podatne na ataki połączenie bezpiecznego kanału Netlogon z kontrolerem domeny przy użyciu protokołu zdalnego Netlogon (MS-NRPC). Osoba atakująca, której uda się wykorzystać tę lukę, może uruchomić specjalnie spreparowaną aplikację na urządzeniu sieciowym.
Aby wykorzystać tę lukę, nieuwierzytelniona osoba atakująca musiałaby użyć MS-NRPC w celu połączenia się z kontrolerem domeny w celu uzyskania dostępu administratora domeny.
W Sambie, słaby punkt pojawia się tylko w systemach, które nie używają ustawienia „server schannel = yes”, co jest wartością domyślną od Samby 4.8.
W szczególności systemy z ustawieniami „server schannel = no” i „server schannel = auto” mogą zostać przejęte, co pozwala Sambie używać tych samych błędów w algorytmie AES-CFB8, co w systemie Windows.
Podczas korzystania z referencyjnego prototypu exploita dla systemu Windows, tylko wywołanie ServerAuthenticate3 jest uruchamiane w Sambie, a operacja ServerPasswordSet2 kończy się niepowodzeniem (exploit wymaga dostosowania do Samby).
Dlatego programiści Samby zapraszają użytkowników, którzy dokonali zmiany na serwer schannel = yes na „nie” lub „auto”, przywróć domyślne ustawienie „tak”, aby w ten sposób uniknąć problemu z luką w zabezpieczeniach.
Nic nie zostało zgłoszone na temat wydajności alternatywnych exploitów, chociaż próby ataku na systemy można śledzić, analizując obecność wpisów ze wzmianką o ServerAuthenticate3 i ServerPasswordSet w dziennikach kontroli Samby.
Firma Microsoft usuwa lukę w dwufazowym wdrożeniu. Te aktualizacje usuwają lukę, modyfikując sposób, w jaki Netlogon obsługuje korzystanie z bezpiecznych kanałów Netlogon.
Gdy druga faza aktualizacji systemu Windows będzie dostępna w pierwszym kwartale 2021 r., Klienci zostaną powiadomieni za pośrednictwem poprawki dotyczącej tej luki w zabezpieczeniach.
Wreszcie, dla tych, którzy są użytkownikami poprzednich wersji samby, przeprowadź odpowiednią aktualizację do najnowszej stabilnej wersji samby lub zdecyduj się na zastosowanie odpowiednich łatek w celu usunięcia tej luki.
Samba ma pewną ochronę przed tym problemem, ponieważ od Samby 4.8 mamy domyślną wartość „server schannel = yes”.
Użytkownicy, którzy zmienili to ustawienie domyślne, są ostrzegani, że Samba wiernie implementuje protokół netlogon AES i tym samym popada w tę samą wadę projektową kryptosystemu.
Dostawcy obsługujący Sambę 4.7 i wcześniejsze wersje muszą załatać swoje instalacje i pakiety, aby zmienić to ustawienie domyślne.
NIE są one bezpieczne i mamy nadzieję, że mogą spowodować pełne przejęcie domeny, szczególnie w przypadku domen AD.
Wreszcie, jeśli chcesz dowiedzieć się więcej na ten temat o tej luce możesz sprawdzić zapowiedzi zespołu samby (w tym linku) lub Microsoft (ten link).