Dezvoltatorii proiectului Samba au dezvăluit recent printr-un anunț adresat utilizatorilor despre descoperirea unei vulnerabilități «ZeroLogin» în Windows (CVE-2020-1472) și că ss-a manifestat în implementare de la un controler de domeniu bazat pe Samba.
Vulnerabilitate este cauzată de erori în protocolul MS-NRPC iar algoritmul de criptare AES-CFB8 și, dacă este exploatat cu succes, permite unui atacator să câștige drepturi de administrator pe un controler de domeniu.
Esența vulnerabilității este că MS-NRPC (Netlogon Remote Protocol) permite schimbul de date de autentificare recurgeți la utilizarea unei conexiuni RPC fără criptare.
Un atacator poate exploata apoi un defect în algoritmul AES-CFB8 pentru a falsifica (spoof) o autentificare de succes. Sunt necesare aproximativ 256 de încercări de falsificare pentru a vă conecta cu drepturi de administrator în medie.
Atacul nu necesită un cont de lucru pe controlerul de domeniu; Încercările de uzurpare pot fi făcute cu o parolă incorectă.
Solicitarea de autentificare NTLM va fi redirecționată către controlerul de domeniu, care va returna accesul refuzat, dar atacatorul poate falsifica acest răspuns, iar sistemul atacat va considera autentificarea reușită.
Există o creștere a vulnerabilității privilegiului atunci când un atacator stabilește o conexiune de canal securizată Netlogon vulnerabilă la un controler de domeniu, utilizând Protocolul la distanță Netlogon (MS-NRPC). Un atacator care a exploatat cu succes vulnerabilitatea ar putea rula o aplicație special concepută pe un dispozitiv de rețea.
Pentru a exploata vulnerabilitatea, un atacator neautentificat ar trebui să utilizeze MS-NRPC pentru a se conecta la un controler de domeniu pentru a obține accesul administratorului de domeniu.
În Samba, vulnerabilitate apare numai pe sistemele care nu utilizează setarea „server schannel = yes”, care este implicit de la Samba 4.8.
În special sistemele cu setările „server schannel = no” și „server schannel = auto” pot fi compromise, care permite Samba să utilizeze aceleași defecte în algoritmul AES-CFB8 ca în Windows.
Când utilizați prototipul de referință de exploatare Windows-ready, numai apelul ServerAuthenticate3 se declanșează în Samba și operațiunea ServerPasswordSet2 eșuează (exploatarea necesită adaptare pentru Samba).
De aceea, dezvoltatorii Samba invită utilizatorii care au făcut schimbarea server schannel = da la „nu” sau „automat”, reveniți la setarea implicită „da” și astfel evitați problema vulnerabilității.
Nu s-a raportat nimic despre performanța exploatărilor alternative, deși încercările de a ataca sistemele pot fi urmărite analizând prezența intrărilor cu menționarea ServerAuthenticate3 și ServerPasswordSet în jurnalele de audit Samba.
Microsoft abordează vulnerabilitatea într-o implementare în două faze. Aceste actualizări abordează vulnerabilitatea modificând modul în care Netlogon gestionează utilizarea canalelor securizate Netlogon.
Când cea de-a doua fază a actualizărilor Windows este disponibilă în primul trimestru al anului 2021, clienții vor fi anunțați printr-un patch pentru această vulnerabilitate de securitate.
În cele din urmă, pentru cei care sunt utilizatori ai versiunilor samba anterioare, efectuați actualizarea relevantă la cea mai recentă versiune stabilă a samba sau alegeți să aplicați patch-urile corespunzătoare pentru a rezolva această vulnerabilitate.
Samba are o oarecare protecție pentru această problemă, deoarece din Samba 4.8 avem o valoare implicită de „server schannel = yes”.
Utilizatorii care au modificat această implicită sunt sfătuiți că Samba implementează fidel protocolul AES netlogon și că se încadrează astfel în același defect de proiectare a criptosistemului.
Furnizorii care acceptă Samba 4.7 și versiunile anterioare trebuie să corecte instalațiile și pachetele pentru a schimba această valoare implicită.
Acestea NU sunt sigure și sperăm că pot duce la un compromis complet asupra domeniului, în special pentru domeniile AD.
În cele din urmă, dacă sunteți interesat să aflați mai multe despre asta despre această vulnerabilitate puteți verifica anunțurile făcute de echipa samba (în acest link) sau, de asemenea, de către Microsoft (acest link).