kohët e fundit Përditësimet e paketës së rregullimit u lëshuan për versione të ndryshme Samba, cilat ishin versionet 4.15.2, 4.14.10 dhe 4.13.14, në to u zbatuan ndryshimet që përfshijnë eliminimin e 8 dobësive, shumica e të cilave mund të çojnë në një kompromis të plotë të domenit Active Directory.
Duhet të theksohet se një nga problemet u rregullua në 2016, dhe pesë, që nga viti 2020, megjithëse një rregullim rezultoi në pamundësinë për të ekzekutuar winbindd në cilësimet e pranisë «lejo domenet e besueshme = nr»(Zhvilluesit synojnë të lëshojnë menjëherë një përditësim tjetër për riparim).
Këto funksione mund të jenë mjaft të rrezikshme në duar të gabuara, pasi përdoruesi qKushdo që krijon llogari të tilla ka privilegje të gjera jo vetëm për t'i krijuar ato dhe vendosni fjalëkalimet e tyre, por për t'i riemërtuar më vonë me kufizimi i vetëm është se ato mund të mos përputhen me një samAccountName ekzistues.
Kur Samba vepron si një anëtar i domenit AD dhe pranon një biletë Kerberos, duhet Harto informacionin e gjetur atje në një ID të përdoruesit lokal të UNIX (uid). Kjo aktualisht bëhet përmes emrit të llogarisë në Active Directory Certifikata e atributit të privilegjuar të Kerberos (PAC) e gjeneruar ose emri i llogarisë në biletë (nëse nuk ka PAC).
Për shembull, Samba do të përpiqet të gjejë një përdorues "DOMAIN \ përdorues" më parë duke iu drejtuar përpjekjes për të gjetur "përdoruesin" e përdoruesit. Nëse kërkimi për DOMAIN \ përdorues mund të dështojë, atëherë një privilegj ngjitja është e mundur.
Për ata që nuk janë të njohur me Samba, duhet të dini se ky është një projekt që vazhdon zhvillimin e degës Samba 4.x me një implementim të plotë të një kontrolluesi domeni dhe shërbimit Active Directory, i pajtueshëm me implementimin e Windows 2000 dhe i aftë të shërbejë të gjitha versionet. të klientëve të Windows të mbështetur nga Microsoft, përfshirë Windows 10.
Samba 4, është një produkt server shumëfunksional, i cili gjithashtu siguron implementimin e një serveri skedarësh, shërbimi të printimit dhe serverit të vërtetimit (winbind).
Nga dobësitë që u eliminuan në përditësimet e lëshuara, përmenden këto:
- CVE-2020-25717- Për shkak të një defekti në logjikën e vendosjes së përdoruesve të domenit me përdoruesit lokalë të sistemit, një përdorues i domenit të Active Directory që ka aftësinë të krijojë llogari të reja në sistemin e tij, të menaxhuara përmes ms-DS-MachineAccountQuota, mund të fitojë akses rrënjësor në sistemet e tjera të përfshira në domen.
- CVE-2021-3738- Qasja në një zonë memorie tashmë të liruar (Përdorni pas pagesës) në zbatimin e serverit Samba AD DC RPC (dsdb), i cili potencialisht mund të çojë në përshkallëzim të privilegjeve kur manipuloni cilësimet e lidhjes.
CVE-2016-2124- Lidhjet e klientit të krijuara duke përdorur protokollin SMB1 mund të kalojnë në transmetimin e parametrave të vërtetimit në tekst të thjeshtë ose duke përdorur NTLM (për shembull, për të përcaktuar kredencialet për sulmet MITM), edhe nëse përdoruesi ose aplikacioni është konfiguruar si vërtetim i detyrueshëm përmes Kerberos. - CVE-2020-25722- Kontrollet adekuate të aksesit të hapësirës ruajtëse nuk u kryen në një kontrollues domeni Active Directory të bazuar në Samba, duke lejuar çdo përdorues të anashkalojë kredencialet dhe të komprometojë plotësisht domenin.
- CVE-2020-25718- Biletat Kerberos të lëshuara nga RODC (kontrolluesi i domenit vetëm për lexim) nuk ishin të izoluara siç duhet në kontrolluesin e domenit Active Directory me bazë Samba, i cili mund të përdoret për të marrë bileta administratori nga RODC pa pasur autoritetin për ta bërë këtë.
- CVE-2020-25719- Kontrolluesi i domenit Active Directory i bazuar në Samba nuk ka marrë gjithmonë parasysh fushat SID dhe PAC në biletat Kerberos në paketë (kur vendoset "gensec: require_pac = true", vetëm emri dhe PAC nuk merren parasysh), gjë që lejoi përdoruesin që ka e drejta për të krijuar llogari në sistemin lokal, për të imituar një përdorues tjetër domeni, duke përfshirë një të privilegjuar.
- CVE-2020-25721: Për përdoruesit e vërtetuar duke përdorur Kerberos, identifikuesit unikë për Active Directory (objectSid) nuk lëshoheshin gjithmonë, gjë që mund të çonte në kryqëzime përdorues-përdorues.
- CVE-2021-23192- Gjatë sulmit MITM, ishte e mundur të mashtroheshin fragmente në kërkesa të mëdha DCE / RPC që u ndanë në pjesë të shumta.
Së fundi, nëse jeni të interesuar të dini më shumë rreth tij, mund të konsultoheni me detajet në lidhja e mëposhtme.