Odhalili vývojári projektu Samba nedávno prostredníctvom oznámenia používateľom o objav zraniteľnosti «ZeroLogin» vo Windows (CVE-2020-1472) a to tiež se sa prejavilo pri implementácii z radiča domény na základe Samby.
Zraniteľnosť je spôsobená chybami v protokole MS-NRPC a kryptografický algoritmus AES-CFB8, a ak je úspešne využitý, umožňuje útočníkovi získať práva správcu na radiči domény.
Podstata zraniteľnosti je to, že MS-NRPC (Netlogon Remote Protocol) umožňuje výmenu autentifikačných údajov uchýliť sa k použitiu pripojenia RPC žiadne šifrovanie.
Útočník potom môže využiť chybu v algoritme AES-CFB8 na spoofovanie (spoof) úspešného prihlásenia. Vyžaduje sa približne 256 pokusov o spoofing prihlásiť sa v priemere s právami správcu.
Útok nevyžaduje funkčný účet na radiči domény; Pokusy o odcudzenie identity je možné vykonať pomocou nesprávneho hesla.
Žiadosť o overenie NTLM bude presmerovaná na radič domény, ktorý vráti prístup odmietnutý, ale útočník môže túto odpoveď sfalšovať a napadnutý systém bude považovať prihlásenie za úspešné.
Keď útočník vytvorí zraniteľné pripojenie zabezpečeného kanála Netlogon k radiču domény pomocou protokolu Netlogon Remote Protocol (MS-NRPC), dôjde k zvýšeniu zraniteľnosti privilégií. Útočník, ktorý úspešne zneužije túto chybu, by mohol spustiť špeciálne vytvorenú aplikáciu na sieťovom zariadení.
Na zneužitie tejto chyby zabezpečenia by sa od neautentizovaného útočníka vyžadovalo použitie servera MS-NRPC na pripojenie k radiču domény na získanie prístupu správcu domény.
V Sambezraniteľnosť sa zobrazuje iba v systémoch, ktoré nepoužívajú nastavenie „server schannel = yes“, čo je predvolené nastavenie od Samby 4.8.
Najmä systémy s nastavením „server schannel = no“ a „server schannel = auto“ môžu byť ohrozené, ktorá umožňuje spoločnosti Samba používať rovnaké chyby v algoritme AES-CFB8 ako v systéme Windows.
Pri použití referenčného prototypu zneužitia pripraveného na Windows sa v Sambe spustí iba volanie ServerAuthenticate3 a operácia ServerPasswordSet2 zlyhá (zneužitie vyžaduje prispôsobenie pre Sambu).
Preto vývojári Samby pozývajú používateľov, ktorí vykonali túto zmenu server schannel = áno na „nie“ alebo „automaticky“, vráťte sa na predvolené nastavenie „áno“ a vyhnite sa tak problémom so zraniteľnosťou.
O výkonnosti alternatívnych útokov sa nehlásilo nič, aj keď pokusy o útok na systémy možno sledovať analýzou prítomnosti položiek so zmienkou ServerAuthenticate3 a ServerPasswordSet v protokoloch auditu Samba.
Spoločnosť Microsoft sa týmto problémom zaoberá dvojfázovo. Tieto aktualizácie riešia túto chybu zabezpečenia úpravou spôsobu, akým Netlogon spracováva používanie zabezpečených kanálov Netlogon.
Keď bude v 2021. štvrťroku XNUMX k dispozícii druhá fáza aktualizácií systému Windows, zákazníci budú o tejto chybe zabezpečenia informovaní prostredníctvom opravy.
Nakoniec tí, ktorí sú používateľmi predchádzajúcich verzií samby, vykonajte príslušnú aktualizáciu na najnovšiu stabilnú verziu samby alebo sa rozhodnite použiť zodpovedajúce opravy na vyriešenie tejto chyby zabezpečenia.
Samba má voči tomuto problému istú ochranu, pretože od verzie Samba 4.8 máme predvolenú hodnotu „server schannel = yes“.
Používateľom, ktorí zmenili toto predvolené nastavenie, sa odporúča, aby spoločnosť Samba verne implementovala protokol netlogon AES, a preto spadá do rovnakej chyby v dizajne kryptosystému.
Poskytovatelia, ktorí podporujú Sambu 4.7 a staršie verzie, musia opraviť svoje inštalácie a balíčky, aby zmenili toto predvolené nastavenie.
Nie sú bezpečné a dúfame, že môžu vyústiť do úplného kompromisu domény, najmä v prípade domén AD.
konečne, ak máte záujem dozvedieť sa o tom viac o tejto zraniteľnosti môžete skontrolovať oznámenia tímu samby (v tomto odkaze) alebo tiež spoločnosťou Microsoft (odkaz).