Zhvilluesit e projektit Samba zbuluan së fundmi përmes një njoftimi për përdoruesit në lidhje me zbulimi i një cenueshmërie «ZeroLogin» në Windows (CVE-2020-1472) dhe që gjithashtu se manifestuar në zbatim nga një kontrollues domain bazuar në Samba.
Prekshmëria është shkaktuar nga anomali në protokollin MS-NRPC dhe algoritmi i kriptos AES-CFB8, dhe nëse shfrytëzohet me sukses, lejon një sulmues të fitojë të drejtat e administratorit në një kontrollues domain.
Thelbi i cenueshmërisë është se MS-NRPC (Netlogon Remote Protocol) lejon shkëmbimin e të dhënave vërtetuese përdorimi i një lidhje RPC pa kriptim.
Një sulmues mund të shfrytëzojë një defekt në algoritmin AES-CFB8 për të mashtruar (falsifikuar) një hyrje të suksesshme. Kërkohen afërsisht 256 përpjekje për mashtrim të hyni mesatarisht me të drejtat e administratorit.
Sulmi nuk kërkon një llogari pune në kontrolluesin e domenit; Përpjekjet për falsifikim mund të bëhen me një fjalëkalim të pasaktë.
Kërkesa për vërtetim e NTLM do të ridrejtohet te kontrolluesi i domenit, i cili do të kthejë hyrjen e refuzuar, por sulmuesi mund ta mashtrojë këtë përgjigje dhe sistemi i sulmuar do ta konsiderojë hyrjen të suksesshme.
Ekziston një lartësi e cenueshmërisë së privilegjit kur një sulmues vendos një lidhje të ndjeshme të kanalit të sigurt Netlogon me një kontrollues domeni, duke përdorur Protokollin e Largët të Netlogon (MS-NRPC). Një sulmues që shfrytëzoi me sukses dobësinë mund të ekzekutojë një aplikacion të krijuar posaçërisht në një pajisje rrjeti.
Për të shfrytëzuar dobësinë, nga një sulmues i paautorizuar do të kërkohet të përdorë MS-NRPC për t'u lidhur me një kontrollues domain për të fituar aksesin e administratorit të domain.
Në Samba, cenueshmëri shfaqet vetëm në sistemet që nuk përdorin cilësimin "server schannel = po", e cila është parazgjedhur që nga Samba 4.8.
Në veçanti sistemet me cilësimet "server schannel = no" dhe "server schannel = auto" mund të komprometohen, e cila lejon Samba të përdorë të njëjtat defekte në algoritmin AES-CFB8 si në Windows.
Kur përdorni prototipin e referencës për shfrytëzimin e gatshëm për Windows, vetëm thirrja ServerAuthenticate3 ndizet në Samba dhe operacioni ServerPasswordSet2 dështon (shfrytëzimi kërkon përshtatje për Samba).
Kjo është arsyeja pse zhvilluesit Samba ftojnë përdoruesit që kanë bërë ndryshimin në kanali i serverit = po te "jo" ose "automatik", kthehu në cilësimin e paracaktuar "po" dhe në këtë mënyrë shmang problemin e cenueshmërisë.
Asgjë nuk u raportua për performancën e shfrytëzimeve alternative, megjithëse përpjekjet për të sulmuar sistemet mund të gjurmohen duke analizuar praninë e shënimeve me përmendjen e ServerAuthenticate3 dhe ServerPasswordSet në regjistrat e auditimit Samba.
Microsoft po adreson cenueshmërinë në një vendosje dyfazore. Këto azhurnime adresojnë dobësinë duke modifikuar mënyrën se si Netlogon trajton përdorimin e kanaleve të sigurta të Netlogon.
Kur faza e dytë e azhurnimeve të Windows të jetë e disponueshme në Q2021 XNUMX, klientët do të njoftohen përmes një patch-i për këtë cenueshmëri të sigurisë.
Së fundmi, për ata që janë përdorues të versioneve të mëparshme samba, kryej azhurnimin përkatës të versionit të fundit të qëndrueshëm të samba ose zgjidh të zbatosh copëzat përkatëse për të zgjidhur këtë dobësi.
Samba ka një farë mbrojtjeje për këtë problem sepse që nga Samba 4.8 kemi një vlerë të paracaktuar të 'server schannel = po'.
Përdoruesit që kanë ndryshuar këtë parazgjedhje paralajmërohen që Samba zbaton me besnikëri protokollin AES të netlogon dhe kështu bie në të njëjtën defekt të dizajnit të kriptosistemit.
Ofruesit që mbështesin Samba 4.7 dhe versionet e mëparshme duhet të rregullojnë instalimet dhe paketat e tyre për të ndryshuar këtë parazgjedhje.
Ato nuk janë të sigurta dhe shpresojmë se mund të rezultojnë në kompromis të plotë të domenit, veçanërisht për fushat AD.
Së fundi, nëse jeni të interesuar të dini më shumë për të në lidhje me këtë dobësi mund të kontrolloni njoftimet e bëra nga ekipi samba (në këtë lidhje) ose gjithashtu nga Microsoft (kjo lidhje).