Os desenvolvedores do projeto Samba revelaram recentemente, por meio de um anúncio aos usuários sobre a descoberta de uma vulnerabilidade «ZeroLogin» no Windows (CVE-2020-1472) e que também ée manifestado na implementação de um controlador de domínio baseado no Samba.
Vulnerabilidade é causado por falhas no protocolo MS-NRPC e o algoritmo de criptografia AES-CFB8, e se explorado com sucesso, permite que um invasor obtenha direitos de administrador em um controlador de domínio.
A essência da vulnerabilidade é aquele MS-NRPC (protocolo remoto Netlogon) permite autenticação de troca de dados recorrer ao uso de uma conexão RPC sem criptografia.
Um invasor pode então explorar uma falha no algoritmo AES-CFB8 para falsificar (falsificar) um login bem-sucedido. São necessárias aproximadamente 256 tentativas de spoofing para fazer login com direitos de administrador em média.
O ataque não requer uma conta ativa no controlador de domínio; As tentativas de falsificação de identidade podem ser feitas com uma senha incorreta.
A solicitação de autenticação NTLM será redirecionada para o controlador de domínio, que retornará o acesso negado, mas o invasor pode falsificar essa resposta e o sistema atacado considerará o login bem-sucedido.
Existe uma vulnerabilidade de elevação de privilégio quando um invasor estabelece uma conexão de canal seguro Netlogon vulnerável a um controlador de domínio, usando o protocolo remoto Netlogon (MS-NRPC). Um invasor que explorar com êxito a vulnerabilidade pode executar um aplicativo especialmente criado em um dispositivo de rede.
Para explorar a vulnerabilidade, um invasor não autenticado seria obrigado a usar o MS-NRPC para se conectar a um controlador de domínio para obter acesso de administrador de domínio.
No samba, vulnerabilidade aparece apenas em sistemas que não usam a configuração "server schannel = yes", que é o padrão desde o Samba 4.8.
Em particular, sistemas com as configurações "server schannel = no" e "server schannel = auto" podem ser comprometidos, que permite ao Samba usar as mesmas falhas no algoritmo AES-CFB8 do Windows.
Ao usar o protótipo de referência de exploração pronto para Windows, apenas a chamada ServerAuthenticate3 é acionada no Samba e a operação ServerPasswordSet2 falha (a exploração requer adaptação para Samba).
É por isso que os desenvolvedores do Samba convidam os usuários que fizeram a mudança para servidor schannel = sim para "não" ou "automático", retorne à configuração padrão "sim" e, assim, evite o problema de vulnerabilidade.
Nada foi relatado sobre o desempenho de explorações alternativas, embora as tentativas de ataque aos sistemas possam ser rastreadas analisando a presença de entradas com a menção de ServerAuthenticate3 e ServerPasswordSet nos logs de auditoria do Samba.
A Microsoft está abordando a vulnerabilidade em uma implantação de duas fases. Essas atualizações corrigem a vulnerabilidade, modificando a maneira como o Netlogon lida com o uso de canais seguros do Netlogon.
Quando a segunda fase das atualizações do Windows estiver disponível no primeiro trimestre de 2021, os clientes serão notificados por meio de um patch para essa vulnerabilidade de segurança.
Finalmente, para aqueles que são usuários de versões anteriores do samba, faça a atualização pertinente para a versão estável mais recente do samba ou escolha aplicar os patches correspondentes para resolver esta vulnerabilidade.
O Samba tem alguma proteção para esse problema porque, desde o Samba 4.8, temos um valor padrão de 'server schannel = yes'.
Os usuários que alteraram esse padrão são alertados de que o Samba implementa o protocolo AES netlogon fielmente e, portanto, cai na mesma falha de projeto do criptossistema.
Os provedores que oferecem suporte ao Samba 4.7 e versões anteriores devem corrigir suas instalações e pacotes para alterar esse padrão.
Eles NÃO são seguros e esperamos que possam resultar no comprometimento total do domínio, especialmente para domínios AD.
Finalmente, se você estiver interessado em saber mais sobre isso sobre esta vulnerabilidade você pode conferir os anúncios feitos pela equipe de samba (neste link) ou também pela Microsoft (neste link).