Nedávno aktualizácie balíka opráv boli vydané pre rôzne verzie Samby, aké boli verzie 4.15.2, 4.14.10 a 4.13.14, v nich boli implementované zmeny, ktoré zahŕňajú odstránenie 8 zraniteľností, z ktorých väčšina môže viesť k úplnému kompromitovaniu domény Active Directory.
Treba poznamenať, že jeden z problémov bol opravený v roku 2016 a päť od roku 2020, hoci jedna oprava viedla k nemožnosti spustiť winbindd v nastaveniach prítomnosti «povoliť dôveryhodné domény = nie»(Vývojári majú v úmysle okamžite vydať ďalšiu aktualizáciu na opravu).
Tieto funkcie môžu byť v nesprávnych rukách dosť nebezpečné, pretože používateľ qKtokoľvek vytvorí takéto účty, má rozsiahle privilégiá nielen na ich vytváranie a nastaviť ich heslá, ale neskôr ich premenovať pomocou jediným obmedzením je, že sa nemusia zhodovať s existujúcim názvom samAccountName.
Keď Samba vystupuje ako člen domény AD a akceptuje lístok Kerberos, musí namapujte informácie, ktoré sa tam nachádzajú, na lokálne ID užívateľa UNIX (uid). Toto sa momentálne vykonáva prostredníctvom názvu účtu v Active Directory Vygenerovaný certifikát privilegovaného atribútu Kerberos (PAC) alebo názov účtu na tikete (ak tam nie je PAC).
Napríklad Samba sa predtým pokúsi nájsť používateľa „DOMÉNA \ používateľ“. uchýliť sa k pokusu nájsť používateľa „user“. Ak vyhľadávanie DOMAIN \ user môže zlyhať, potom privilégium lezenie je možné.
Pre tých, ktorí nie sú oboznámení so Sambou, by ste mali vedieť, že ide o projekt, ktorý pokračuje vo vývoji pobočky Samba 4.x s úplnou implementáciou radiča domény a služby Active Directory, kompatibilnou s implementáciou Windows 2000 a schopnou obsluhovať všetky verzie klientov Windows podporovaných spoločnosťou Microsoft, vrátane Windows 10.
Samba 4, je multifunkčný serverový produkt, ktorá tiež poskytuje implementáciu súborového servera, tlačovej služby a autentifikačného servera (winbind).
Zo zraniteľností, ktoré boli odstránené vo vydaných aktualizáciách, sú uvedené tieto:
- CVE-2020 25717,- Kvôli chybe v logike mapovania používateľov domény na používateľov lokálneho systému môže používateľ domény Active Directory, ktorý má možnosť vytvárať nové účty vo svojom systéme spravovanom prostredníctvom ms-DS-MachineAccountQuota, získať prístup typu root do iných zahrnutých systémov. v doméne.
- CVE-2021 3738,- Prístup k oblasti pamäte, ktorá už bola uvoľnená (Použiť po uvoľnení) v implementácii servera Samba AD DC RPC (dsdb), čo môže potenciálne viesť k eskalácii privilégií pri manipulácii s nastaveniami pripojenia.
CVE-2016 2124,- Klientske pripojenia vytvorené pomocou protokolu SMB1 môžu byť odovzdané na prenos autentifikačných parametrov vo forme obyčajného textu alebo pomocou NTLM (napríklad na určenie poverení pre útoky MITM), aj keď je používateľ alebo aplikácia nakonfigurovaná ako povinná autentifikácia prostredníctvom protokolu Kerberos. - CVE-2020 25722,- Na radiči domény Active Directory založenom na Sambe neboli vykonané adekvátne kontroly prístupu k úložisku, čo umožnilo každému používateľovi obísť poverenia a úplne ohroziť doménu.
- CVE-2020 25718,- Lístky Kerberos vydané RODC (radič domény len na čítanie) neboli správne izolované od radiča domény Active Directory založeného na Sambe, ktorý by sa dal použiť na získanie správcovských lístkov z RODC bez toho, aby ste na to mali oprávnenie.
- CVE-2020 25719,- Radič domény Active Directory založený na Sambe nie vždy bral do úvahy polia SID a PAC v lístkoch Kerberos v balíku (pri nastavení "gensec: require_pac = true" sa nezohľadňuje iba názov a PAC), čo umožnilo používateľovi, ktorý má právo vytvárať účty v lokálnom systéme, vydávať sa za iného používateľa domény, vrátane privilegovaného.
- CVE-2020-25721: Používateľom overeným pomocou protokolu Kerberos neboli vždy vydávané jedinečné identifikátory pre službu Active Directory (objectSid), čo by mohlo viesť k prieniku používateľov s používateľmi.
- CVE-2021 23192,- Počas útoku MITM bolo možné sfalšovať fragmenty vo veľkých požiadavkách DCE / RPC, ktoré boli rozdelené na viacero častí.
Nakoniec, ak máte záujem dozvedieť sa o ňom viac, podrobnosti si môžete prečítať v nasledujúci odkaz.