Inilantad ng mga tagabuo ng proyekto ng Samba kamakailan lamang sa pamamagitan ng anunsyo sa mga gumagamit tungkol sa ang pagtuklas ng isang «ZeroLogin» na kahinaan sa Windows (CVE-2020-1472) at iyan dine ipinakita sa pagpapatupad mula sa isang domain controller batay sa Samba.
Kakayahang mangyari ay sanhi ng mga glitches sa MS-NRPC protocol at ang AES-CFB8 crypto algorithm, at kung matagumpay na pinagsamantalahan, pinapayagan ang isang umaatake na makakuha ng mga karapatan ng administrator sa isang domain controller.
Ang kakanyahan ng kahinaan ay ang MS-NRPC (Netlogon Remote Protocol) pinapayagan ang pagpapalitan ng data ng pagpapatotoo gumamit ng koneksyon sa RPC walang naka-encrypt.
Maaari nang samantalahin ng isang umaatake ang isang kamalian sa AES-CFB8 algorithm upang spoof (spoof) isang matagumpay na pag-login. Humigit-kumulang 256 na pagtatangka sa spoofing ang kinakailangan upang mag-log in gamit ang mga karapatan ng administrator sa average.
Ang pag-atake ay hindi nangangailangan ng isang gumaganang account sa domain controller; Ang mga pagtatangka sa paggaya ay maaaring magawa gamit ang isang maling password.
Ang kahilingan sa pagpapatotoo ng NTLM ay ire-redirect sa domain controller, na ibabalik ang pag-access na tinanggihan, ngunit maaaring palayain ng magsasalakay ang tugon na ito at isasaalang-alang ng naatake na system ang tagumpay sa pag-login.
Ang isang pagtaas ng kahinaan sa pribilehiyo ay mayroon kapag ang isang magsasalakay ay nagtatatag ng isang mahina laban sa Netlogon na ligtas na koneksyon sa channel sa isang domain controller, gamit ang Netlogon Remote Protocol (MS-NRPC). Ang isang mang-atake na matagumpay na pinagsamantalahan ang kahinaan ay maaaring magpatakbo ng isang espesyal na ginawa application sa isang aparato sa network.
Upang mapagsamantalahan ang kahinaan, kinakailangan ng isang hindi napatunayan na umaatake na gumamit ng MS-NRPC upang kumonekta sa isang domain controller upang makakuha ng pag-access ng administrator ng domain.
Sa Samba, kahinaan lilitaw lamang sa mga system na hindi gumagamit ng setting ng "server schannel = yes", alin ang default mula Samba 4.8.
Sa partikular ang mga system na may mga setting ng "server schannel = no" at "server schannel = auto" ay maaaring makompromiso, na nagpapahintulot sa Samba na gumamit ng parehong mga bahid sa AES-CFB8 algorithm tulad ng sa Windows.
Kapag ginagamit ang Windows-handa na pagsamantalahan ang sanggunian na prototype, ang serverAuthenticate3 na tawag lamang ang nagpaputok sa Samba at ang operasyon ng ServerPasswordSet2 na nabigo (ang pagsasamantala ay nangangailangan ng pagbagay para sa Samba).
Iyon ang dahilan kung bakit inaanyayahan ng mga developer ng Samba ang mga gumagamit na gumawa ng pagbabago server schannel = oo upang "hindi" o "auto", bumalik sa default na setting na "oo" at sa ganyan maiwasan ang problema sa kahinaan.
Walang naiulat sa pagganap ng mga alternatibong pagsasamantala, kahit na ang mga pagtatangka sa pag-atake ng mga system ay maaaring subaybayan sa pamamagitan ng pag-aaral ng pagkakaroon ng mga entry na may pagbanggit ng ServerAuthenticate3 at ServerPasswordSet sa mga tala ng audit ng Samba.
Tinutugunan ng Microsoft ang kahinaan sa isang pag-deploy ng dalawang yugto. Tinutugunan ng mga pag-update na ito ang kahinaan sa pamamagitan ng pagbabago ng paraan ng paghawak ng Netlogon sa paggamit ng mga ligtas na channel ng Netlogon.
Kapag ang pangalawang yugto ng mga pag-update sa Windows ay magagamit sa Q2021 XNUMX, aabisuhan ang mga customer sa pamamagitan ng isang patch para sa kahinaan sa seguridad na ito.
Panghuli, para sa mga gumagamit ng nakaraang mga bersyon ng samba, isakatuparan ang nauugnay na pag-update sa pinakabagong matatag na bersyon ng samba o piliing ilapat ang kaukulang mga patch upang malutas ang kahinaan na ito.
Ang Samba ay may ilang proteksyon para sa problemang ito dahil dahil sa Samba 4.8 mayroon kaming isang default na halaga ng 'server schannel = oo'.
Ang mga gumagamit na nagbago sa default na ito ay binigyan ng babala na ang Samba ay nagpapatupad ng netlogon AES na protocol nang tapat at sa gayon ay nahuhulog sa parehong pagkakamali ng disenyo ng cryptosystem.
Ang mga tagabigay na sumusuporta sa Samba 4.7 at mas naunang mga bersyon ay dapat na mag-patch ng kanilang mga pag-install at mga pakete upang baguhin ang default na ito.
Ang mga ito ay HINDI ligtas at inaasahan naming maaari silang magresulta sa buong kompromiso sa domain, partikular para sa mga domain ng AD.
Sa wakas, kung interesado kang malaman ang tungkol dito tungkol sa kahinaan na ito maaari mong suriin ang mga anunsyo na ginawa ng koponan ng samba (sa link na ito) o din ng Microsoft (ang link na ito).