geçenlerde çeşitli Samba sürümleri için düzeltme paketi güncellemeleri yayınlandı, versiyonlar hangileriydi 4.15.2, 4.14.10 ve 4.13.14, çoğu Active Directory etki alanının tamamen tehlikeye girmesine yol açabilecek 8 güvenlik açığının ortadan kaldırılmasını içeren değişiklikler uyguladılar.
Sorunlardan birinin 2016'da, beşinin ise 2020 itibariyle düzeltildiğine dikkat edilmelidir, ancak bir düzeltme, varlık ayarlarında winbindd çalıştırılamamasıyla sonuçlanmıştır «güvenilen alanlara izin ver = hayır»(Geliştiriciler, onarım için hemen başka bir güncelleme yayınlamayı planlıyor).
Bu işlevler yanlış ellerde oldukça tehlikeli olabilir, çünkü kullanıcı qBu tür hesapları kim oluşturursa, yalnızca onları oluşturmak için değil, aynı zamanda kapsamlı ayrıcalıklara da sahiptir. ve şifrelerini ayarlayın, ancak daha sonra yeniden adlandırmak için tek kısıtlama, mevcut bir samAccountName ile eşleşmemeleridir.
Samba, AD etki alanının bir üyesi olarak hareket ettiğinde ve bir Kerberos biletini kabul ettiğinde, orada bulunan bilgileri yerel bir UNIX kullanıcı kimliğiyle (uid) eşleştirin. Bu şu anda Active Directory'deki hesap adı aracılığıyla yapılıyor Oluşturulan Kerberos Ayrıcalıklı Nitelik Sertifikası (PAC) veya biletteki hesap adı (PAC yoksa).
Örneğin, Samba önce "DOMAIN \ user" kullanıcısını bulmaya çalışacaktır. "kullanıcı" kullanıcısını bulmaya çalışmak. DOMAIN \ user araması başarısız olursa, bir ayrıcalık tırmanmak mümkündür.
Samba'ya aşina olmayanlar için, bunun, Windows 4 uygulamasıyla uyumlu ve tüm sürümlere hizmet verebilen, bir etki alanı denetleyicisi ve Active Directory hizmetinin tam uygulamasıyla Samba 2000.x şubesinin gelişimini sürdüren bir proje olduğunu bilmelisiniz. Windows 10 dahil olmak üzere Microsoft tarafından desteklenen Windows istemcileri.
Samba 4, çok işlevli bir sunucu ürünü, Bu ayrıca bir dosya sunucusu, yazdırma hizmeti ve kimlik doğrulama sunucusunun (winbind) uygulanmasını sağlar.
Yayımlanan güncellemelerde giderilen güvenlik açıklarından aşağıdakiler bahsediliyor:
- CVE-2020-25717- Etki alanı kullanıcılarını yerel sistem kullanıcılarına eşleme mantığındaki bir kusur nedeniyle, ms-DS-MachineAccountQuota aracılığıyla yönetilen sistemlerinde yeni hesaplar oluşturma yeteneğine sahip bir Active Directory etki alanı kullanıcısı, dahil olan diğer sistemlere kök erişimi kazanabilir. etki alanında.
- CVE-2021-3738- Samba AD DC RPC (dsdb) sunucu uygulamasında zaten serbest bırakılmış bir bellek alanına erişim (Boş olduktan sonra kullanın), bağlantı ayarları değiştirilirken potansiyel olarak ayrıcalık yükselmesine neden olabilir.
CVE-2016-2124- SMB1 protokolü kullanılarak kurulan istemci bağlantıları, kullanıcı veya uygulama Kerberos aracılığıyla kimlik doğrulama Zorunlu olarak yapılandırılsa bile, düz metin olarak veya NTLM kullanılarak (örneğin, MITM saldırıları için kimlik bilgilerini belirlemek için) kimlik doğrulama parametrelerinin iletilmesine geçirilebilir. - CVE-2020-25722- Samba tabanlı bir Active Directory etki alanı denetleyicisinde yeterli depolama erişim denetimleri gerçekleştirilmedi, bu da herhangi bir kullanıcının kimlik bilgilerini atlamasına ve etki alanını tamamen tehlikeye atmasına izin verdi.
- CVE-2020-25718- RODC (salt okunur etki alanı denetleyicisi) tarafından verilen Kerberos biletleri, Samba tabanlı Active Directory etki alanı denetleyicisine uygun şekilde izole edilmedi; bu, bunu yapma yetkisi olmadan RODC'den yönetici biletleri almak için kullanılabilir.
- CVE-2020-25719- Samba tabanlı Active Directory etki alanı denetleyicisi, paketteki Kerberos biletlerindeki SID ve PAC alanlarını her zaman dikkate almıyordu ("gensec: require_pac = true" ayarlanırken, yalnızca ad ve PAC dikkate alınmadı), bu da kullanıcıya izin verdi. yerel sistemde hesap oluşturma, ayrıcalıklı dahil olmak üzere başka bir etki alanı kullanıcısını taklit etme hakkı.
- CVE-2020-25721: Kerberos kullanılarak kimliği doğrulanan kullanıcılar için, Active Directory (objectSid) için benzersiz tanımlayıcılar her zaman verilmedi, bu da kullanıcı-kullanıcı kesişimlerine yol açabilir.
- CVE-2021-23192- MITM saldırısı sırasında, birden çok parçaya bölünmüş büyük DCE / RPC isteklerindeki parçaları taklit etmek mümkündü.
Son olarak, bu konuda daha fazla bilgi edinmek istiyorsanız, ayrıntılara şuradan bakabilirsiniz: aşağıdaki bağlantı.