Обнародованы разработчики проекта Samba недавно через объявление пользователям о обнаружение уязвимости «ZeroLogin» в Windows (CVE-2020-1472), а такжее проявляется в реализации с контроллера домена на основе Samba.
Уязвимость вызвано сбоями в протоколе MS-NRPC и алгоритм шифрования AES-CFB8, и в случае успешного использования позволяет злоумышленнику получить права администратора на контроллере домена.
Суть уязвимости это MS-NRPC (удаленный протокол Netlogon) позволяет обмен данными аутентификации прибегать к использованию RPC-соединения без шифрования.
Затем злоумышленник может использовать уязвимость в алгоритме AES-CFB8 для подделки (подделки) успешного входа в систему. Требуется примерно 256 попыток спуфинга. в среднем авторизоваться с правами администратора.
Для атаки не требуется рабочая учетная запись на контроллере домена.; Попытки выдать себя за другое лицо могут быть выполнены с неправильным паролем.
Запрос проверки подлинности NTLM будет перенаправлен на контроллер домена, который вернет отказ в доступе, но злоумышленник может подделать этот ответ, и атакованная система сочтет вход в систему успешным.
Уязвимость к несанкционированному получению прав возникает, когда злоумышленник устанавливает уязвимое соединение безопасного канала Netlogon с контроллером домена с помощью протокола Netlogon Remote Protocol (MS-NRPC). Злоумышленник, успешно воспользовавшийся уязвимостью, может запустить на сетевом устройстве специально созданное приложение.
Чтобы воспользоваться этой уязвимостью, злоумышленнику, не прошедшему проверку подлинности, потребуется использовать MS-NRPC для подключения к контроллеру домена для получения доступа администратора домена.
В самбе, уязвимость отображается только в системах, в которых не используется параметр server schannel = yes, это значение по умолчанию, начиная с Samba 4.8.
В частности, системы с настройками server schannel = no и server schannel = auto могут быть скомпрометированы, что позволяет Samba использовать те же недостатки в алгоритме AES-CFB8, что и в Windows.
При использовании готового для Windows эталонного прототипа эксплойта в Samba срабатывает только вызов ServerAuthenticate3, а операция ServerPasswordSet2 завершается неудачно (эксплойт требует адаптации для Samba).
Вот почему разработчики Samba приглашают пользователей, которые внесли изменения в server schannel = да на «нет» или «авто», вернитесь к настройке по умолчанию «да» и тем самым избежите проблемы уязвимости.
О производительности альтернативных эксплойтов ничего не сообщалось, хотя попытки атаковать системы можно отследить, проанализировав наличие записей с упоминанием ServerAuthenticate3 и ServerPasswordSet в журналах аудита Samba.
Microsoft устраняет уязвимость в двухэтапном развертывании. Эти обновления устраняют уязвимость, изменяя способ, которым Netlogon обрабатывает использование безопасных каналов Netlogon.
Когда второй этап обновлений Windows станет доступен в первом квартале 2021 года, клиенты будут уведомлены с помощью исправления для этой уязвимости в системе безопасности.
Наконец, для тех, кто является пользователями предыдущих версий samba, выполните соответствующее обновление до последней стабильной версии samba или выберите применение соответствующих исправлений для устранения этой уязвимости.
У Samba есть некоторая защита от этой проблемы, потому что, начиная с Samba 4.8, у нас есть значение по умолчанию «server schannel = yes».
Пользователям, изменившим это значение по умолчанию, рекомендуется, чтобы Samba добросовестно реализует протокол Netlogon AES и, следовательно, попадает в тот же недостаток конструкции криптосистемы.
Поставщики, поддерживающие Samba 4.7 и более ранние версии, должны исправить свои установки и пакеты, чтобы изменить это значение по умолчанию.
Они НЕ являются безопасными, и мы надеемся, что они могут привести к полной компрометации домена, особенно для доменов AD.
Наконец, если вам интересно узнать об этом больше об этой уязвимости вы можете проверить объявления, сделанные командой samba (в этой ссылке) или также Microsoft (ссылку).