Utvecklarna av Samba-projektet presenterades nyligen genom ett meddelande till användarna om upptäckten av en "ZeroLogin" sårbarhet i Windows (CVE-2020-1472) och det också smanifesteras i implementeringen från en domänkontrollant baserat på Samba.
Sårbarhet orsakas av fel i MS-NRPC-protokollet och AES-CFB8-kryptalgoritmen, och om den utnyttjas framgångsrikt, tillåter en angripare att få administratörsrättigheter på en domänkontrollant.
Kärnan i sårbarhet är att MS-NRPC (Netlogon Remote Protocol) tillåter utbyte av autentiseringsdata använda en RPC-anslutning ingen kryptering.
En angripare kan sedan utnyttja en brist i AES-CFB8-algoritmen för att spoofa (spoof) en framgångsrik inloggning. Cirka 256 förfalskningsförsök krävs för att logga in med administratörsrättigheter i genomsnitt.
Attacken kräver inte ett fungerande konto på domänkontrollanten; Försök att imitera kan göras med ett felaktigt lösenord.
NTLM-autentiseringsförfrågan kommer att omdirigeras till domänkontrollanten, som kommer att returnera åtkomst nekad, men angriparen kan förfalska detta svar och det attackerade systemet anser att inloggningen lyckades.
Det finns en höjning av sårbarheten för privilegier när en angripare skapar en sårbar Netlogon-kanalanslutning till en domänkontrollant med hjälp av Netlogon Remote Protocol (MS-NRPC). En angripare som lyckats utnyttja sårbarheten kan köra en speciellt utformad applikation på en nätverksenhet.
För att utnyttja sårbarheten krävs en obehörig angripare att använda MS-NRPC för att ansluta till en domänkontrollant för att få domänadministratörsåtkomst.
I Samba, sårbarhet visas bara på system som inte använder inställningen "server schannel = yes", vilket är standard sedan Samba 4.8.
I synnerhet system med "server schannel = no" och "server schannel = auto" -inställningar kan äventyras, vilket gör att Samba kan använda samma brister i AES-CFB8-algoritmen som i Windows.
När du använder den Windows-färdiga prototypen för exploateringsreferens, utlöses endast ServerAuthenticate3-samtal i Samba och ServerPasswordSet2-operationen misslyckas (exploit kräver anpassning för Samba).
Det är därför Samba-utvecklarna bjuder in användare som har gjort ändringen till server schannel = ja till "nej" eller "auto", återgå till standardinställningen "ja" och undvik därmed sårbarhetsproblemet.
Ingenting rapporterades om utförandet av alternativa exploateringar, även om försök att attackera system kan spåras genom att analysera närvaron av poster med omnämnandet av ServerAuthenticate3 och ServerPasswordSet i Samba-granskningsloggarna.
Microsoft hanterar sårbarheten i en tvåfasdistribution. Dessa uppdateringar åtgärdar sårbarheten genom att ändra hur Netlogon hanterar användningen av säkra kanaler på Netlog.
När den andra fasen av Windows-uppdateringar är tillgänglig under Q2021 XNUMX kommer kunderna att meddelas via en korrigeringsfil för denna säkerhetsproblem.
Slutligen, för dem som är användare av tidigare sambaversioner, gör den relevanta uppdateringen till den senaste stabila versionen av samba eller välj att använda motsvarande korrigeringsfiler för att lösa denna sårbarhet.
Samba har ett visst skydd för detta problem eftersom vi sedan Samba 4.8 har ett standardvärde 'server schannel = yes'.
Användare som har ändrat denna standard rekommenderas att Samba implementerar netlogon AES-protokollet troget och därmed faller till samma kryptosystemdesignfel.
Leverantörer som stöder Samba 4.7 och tidigare versioner måste korrigera sina installationer och paket för att ändra denna standard.
De är INTE säkra och vi hoppas att de kan leda till full domänkompromiss, särskilt för AD-domäner.
Slutligen, om du är intresserad av att veta mer om det om denna sårbarhet kan du kontrollera meddelanden från samba-teamet (i den här länken) eller även av Microsoft (denna länk).