Недавно Објављена су исправна ажурирања пакета за различите верзије Самбе, које су биле верзије КСНУМКС, КСНУМКС и КСНУМКС, спроведене су промене које укључују елиминацију 8 рањивости, од којих већина може довести до потпуног компромитовања домена Ацтиве Дирецтори.
Треба напоменути да је један од проблема решен 2016. године, а пет од 2020. године, иако је једна исправка проузроковала немогућност покретања винбиндд у подешавањима присутности «дозволи поуздане домене=бр» (програмери намеравају да одмах издају још једну исправку за поправку).
Ове функције могу бити прилично опасне у погрешним рукама, као корисник којиКо год креира такве налоге има широке привилегије да их не само креира и поставите своје лозинке, али да их касније преименујете са једино ограничење је да се можда не подударају са постојећим самАццоунтНаме.
Када Самба као члан АД домена прихвати Керберос карту, мора мапирајте информације које се тамо налазе у локални УНИКС кориснички ИД (уид). Ово се тренутно обавља преко имена налога у активном именику Генерисани Керберос сертификат привилегованог атрибута (ПАЦ), или назив налога на тикету (ако нема ПАЦ).
На пример, Самба ће раније покушати да пронађе корисника "ДОМАИН\усер". прибегавајући покушају да пронађе корисника „корисник“. Ако претраживање ДОМАИН\корисника не успе, онда је привилегија пењање је могуће.
За оне који нису упознати са Самбом, требали бисте знати да је ово пројекат који наставља развој огранка Самба 4.к са потпуном имплементацијом контролера домена и услугом Ацтиве Дирецтори, компатибилан са имплементацијом Виндовс 2000 и способан да опслужује све верзије Виндовс клијената које Мицрософт подржава, укључујући Виндовс 10.
Самба 4, је мултифункционални серверски производ, који такође обезбеђује имплементацију сервера датотека, услуге штампања и сервера за потврду идентитета (винбинд).
Од рањивости које су елиминисане у објављеним исправкама, помињу се следеће:
- ЦВЕ-КСНУМКС-КСНУМКС- Због грешке у логичком мапирању корисника домена са корисницима локалног система, корисник домена Ацтиве Дирецтори који има могућност да креира нове налоге на свом систему, којим се управља преко мс-ДС-МацхинеАццоунтКуота, могао би да добије роот приступ другим системима укљученим у домену.
- ЦВЕ-КСНУМКС-КСНУМКС- Приступ већ ослобођеној меморијској области (Усе Афтер Фрее) у имплементацији Самба АД ДЦ РПЦ сервера (дсдб), што потенцијално може довести до ескалације привилегија манипулисањем поставкама везе.
ЦВЕ-КСНУМКС-КСНУМКС- Клијентске везе успостављене коришћењем СМБ1 протокола могу се пренети на пренос параметара аутентикације у обичном тексту или помоћу НТЛМ-а (на пример, за одређивање акредитива за МИТМ нападе), чак и ако су корисник или апликација конфигурисани као обавезни аутентификатор преко Керберос-а. - ЦВЕ-КСНУМКС-КСНУМКС– Исправне провере приступа складишту нису обављене на контролеру домена Ацтиве Дирецтори заснованом на Самби, што је омогућавало било ком кориснику да заобиђе акредитиве и потпуно компромитује домен.
- ЦВЕ-КСНУМКС-КСНУМКС- Керберос тикете које је издао РОДЦ (контролор домена само за читање) нису биле правилно изоловане од контролора домена Ацтиве Дирецтори заснованог на Самби, који би се могао користити за добијање администраторских тикета од РОДЦ-а без овлашћења за то.
- ЦВЕ-КСНУМКС-КСНУМКС– Контролер домена Ацтиве Дирецтори заснован на Самби није увек узимао у обзир СИД и ПАЦ поља у Керберос тикетима у пакету (када је подешено „генсец:рекуире_пац = труе“, само име и ПАЦ нису узети у обзир), што је омогућило корисник, који има право да креира налоге на локалном систему, да се лажно представља за другог корисника на домену, укључујући и привилегованог.
- ЦВЕ-2020-25721: За кориснике који су аутентификовани помоћу Керберос-а, јединствени идентификатори нису увек били издати активном директоријуму (објецтСид), што би могло да доведе до укрштања једног корисника са другим.
- ЦВЕ-КСНУМКС-КСНУМКС- Током МИТМ напада, било је могуће кривотворити фрагменте у великим ДЦЕ/РПЦ захтевима који су подељени на више делова.
Коначно, ако сте заинтересовани да сазнате више о томе, можете погледати детаље у следећи линк.