เปิดตัวนักพัฒนาของโครงการ Samba เมื่อเร็ว ๆ นี้ผ่านการประกาศให้ผู้ใช้เกี่ยวกับ การค้นพบช่องโหว่« ZeroLogin » บน Windows (CVE-2020-1472) และนั่นก็คือe เป็นที่ประจักษ์ในการใช้งาน จากตัวควบคุมโดเมน โดยอิงจาก Samba
ช่องโหว่ เกิดจากข้อบกพร่องในโปรโตคอล MS-NRPC และอัลกอริทึมการเข้ารหัส AES-CFB8 และหากใช้ประโยชน์ได้สำเร็จจะช่วยให้ผู้โจมตีได้รับสิทธิ์ของผู้ดูแลระบบบนตัวควบคุมโดเมน
สาระสำคัญของความเปราะบาง คือ MS-NRPC (Netlogon Remote Protocol) อนุญาตให้แลกเปลี่ยนข้อมูลการพิสูจน์ตัวตน หันไปใช้การเชื่อมต่อ RPC ไม่มีการเข้ารหัส
จากนั้นผู้โจมตีสามารถใช้ประโยชน์จากข้อบกพร่องในอัลกอริทึม AES-CFB8 เพื่อปลอมแปลง (หลอก) การเข้าสู่ระบบที่ประสบความสำเร็จ ต้องมีการพยายามปลอมแปลงประมาณ 256 ครั้ง เพื่อเข้าสู่ระบบด้วยสิทธิ์ของผู้ดูแลระบบโดยเฉลี่ย
การโจมตีไม่จำเป็นต้องมีบัญชีที่ใช้งานได้บนตัวควบคุมโดเมน; ความพยายามในการแอบอ้างบุคคลอื่นสามารถทำได้โดยใช้รหัสผ่านที่ไม่ถูกต้อง
คำขอรับรองความถูกต้อง NTLM จะถูกเปลี่ยนเส้นทางไปยังตัวควบคุมโดเมนซึ่งจะส่งคืนการเข้าถึงที่ถูกปฏิเสธ แต่ผู้โจมตีสามารถปลอมแปลงการตอบกลับนี้ได้และระบบที่ถูกโจมตีจะถือว่าการเข้าสู่ระบบสำเร็จ
การเพิ่มช่องโหว่ของสิทธิ์พิเศษเกิดขึ้นเมื่อผู้โจมตีสร้างการเชื่อมต่อช่องสัญญาณที่ปลอดภัยของ Netlogon ที่มีช่องโหว่ไปยังตัวควบคุมโดเมนโดยใช้ Netlogon Remote Protocol (MS-NRPC) ผู้โจมตีที่ใช้ช่องโหว่ได้สำเร็จสามารถเรียกใช้แอปพลิเคชันที่ออกแบบมาเป็นพิเศษบนอุปกรณ์เครือข่ายได้
ในการใช้ช่องโหว่ดังกล่าวผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนจะต้องใช้ MS-NRPC เพื่อเชื่อมต่อกับตัวควบคุมโดเมนเพื่อเข้าถึงการเข้าถึงของผู้ดูแลระบบ
ในแซมบ้า, ช่องโหว่ ปรากฏเฉพาะในระบบที่ไม่ใช้การตั้งค่า "เซิร์ฟเวอร์ schannel = ใช่" ซึ่งเป็นค่าเริ่มต้นตั้งแต่ Samba 4.8
โดยเฉพาะอย่างยิ่ง ระบบที่มีการตั้งค่า "server schannel = no" และ "server schannel = auto" อาจถูกบุกรุกได้ซึ่งช่วยให้ Samba ใช้ข้อบกพร่องเดียวกันในอัลกอริทึม AES-CFB8 เช่นเดียวกับใน Windows
เมื่อใช้ต้นแบบอ้างอิงการใช้ประโยชน์จาก Windows ที่พร้อมใช้งานเฉพาะการเรียก ServerAuthenticate3 เท่านั้นที่เริ่มทำงานใน Samba และการดำเนินการ ServerPasswordSet2 ล้มเหลว (การใช้ประโยชน์ต้องมีการปรับเปลี่ยนสำหรับ Samba)
นั่นคือเหตุผลที่นักพัฒนา Samba เชิญผู้ใช้ที่ทำการเปลี่ยนแปลงเป็น เซิร์ฟเวอร์ schannel = ใช่ เป็น "ไม่" หรือ "อัตโนมัติ" ให้กลับไปที่การตั้งค่าเริ่มต้น "ใช่" และเพื่อหลีกเลี่ยงปัญหาช่องโหว่
ไม่มีการรายงานเกี่ยวกับประสิทธิภาพของช่องโหว่ทางเลือกแม้ว่าจะสามารถติดตามความพยายามในการโจมตีระบบได้โดยการวิเคราะห์การมีอยู่ของรายการที่มีการกล่าวถึง ServerAuthenticate3 และ ServerPasswordSet ในบันทึกการตรวจสอบ Samba
Microsoft กำลังแก้ไขช่องโหว่ในการปรับใช้สองเฟส การอัปเดตเหล่านี้แก้ไขช่องโหว่โดยการปรับเปลี่ยนวิธีที่ Netlogon จัดการกับการใช้ช่องทางที่ปลอดภัยของ Netlogon
เมื่อการอัปเดต Windows ระยะที่สองพร้อมใช้งานในไตรมาสที่ 2021 ปี XNUMX ลูกค้าจะได้รับแจ้งผ่านโปรแกรมแก้ไขสำหรับช่องโหว่ด้านความปลอดภัยนี้
สุดท้ายสำหรับผู้ที่เป็นผู้ใช้ samba เวอร์ชันก่อนหน้าให้ทำการอัปเดตที่เกี่ยวข้องกับ samba เวอร์ชันเสถียรล่าสุดหรือเลือกที่จะใช้แพตช์ที่เกี่ยวข้องเพื่อแก้ไขช่องโหว่นี้
Samba มีการป้องกันบางอย่างสำหรับปัญหานี้เนื่องจาก Samba 4.8 เรามีค่าเริ่มต้นเป็น 'server schannel = yes'
ขอแนะนำให้ผู้ใช้ที่เปลี่ยนค่าเริ่มต้นนี้ว่า Samba ใช้โปรโตคอล netlogon AES อย่างซื่อสัตย์ดังนั้นจึงมีข้อบกพร่องในการออกแบบระบบเข้ารหัสเดียวกัน
ผู้ให้บริการที่รองรับ Samba 4.7 และเวอร์ชันก่อนหน้าต้องแก้ไขการติดตั้งและแพ็กเกจเพื่อเปลี่ยนค่าเริ่มต้นนี้
พวกเขาไม่ปลอดภัยและเราหวังว่ามันจะส่งผลให้เกิดการบุกรุกทั้งโดเมนโดยเฉพาะอย่างยิ่งสำหรับโดเมน AD
ในที่สุด หากคุณสนใจที่จะทราบข้อมูลเพิ่มเติม เกี่ยวกับช่องโหว่นี้คุณสามารถตรวจสอบประกาศที่จัดทำโดยทีมแซมบ้า (ในลิงค์นี้) หรือโดย Microsoft (การเชื่อมโยงนี้).