Các nhà phát triển của dự án Samba tiết lộ gần đây thông qua một thông báo cho người dùng về việc phát hiện ra lỗ hổng «ZeroLogin» trong Windows (CVE-2020-1472) và đó cũng là se đã thể hiện trong việc thực hiện từ bộ điều khiển miền dựa trên Samba.
Lỗ hổng là do trục trặc trong giao thức MS-NRPC và thuật toán tiền điện tử AES-CFB8, và nếu được khai thác thành công, cho phép kẻ tấn công có được quyền quản trị viên trên bộ điều khiển miền.
Bản chất của tính dễ bị tổn thương đó là MS-NRPC (Giao thức từ xa Netlogon) cho phép trao đổi dữ liệu xác thực sử dụng kết nối RPC không có mã hóa.
Sau đó, kẻ tấn công có thể khai thác một lỗ hổng trong thuật toán AES-CFB8 để đánh lừa (giả mạo) một lần đăng nhập thành công. Cần có khoảng 256 lần giả mạo để đăng nhập với quyền quản trị trung bình.
Cuộc tấn công không yêu cầu tài khoản đang hoạt động trên bộ điều khiển miền; Các nỗ lực mạo danh có thể được thực hiện với một mật khẩu không chính xác.
Yêu cầu xác thực NTLM sẽ được chuyển hướng đến bộ điều khiển miền, điều này sẽ trả lại quyền truy cập bị từ chối, nhưng kẻ tấn công có thể giả mạo phản hồi này và hệ thống bị tấn công sẽ coi là đăng nhập thành công.
Sự gia tăng của lỗ hổng đặc quyền tồn tại khi kẻ tấn công thiết lập kết nối kênh bảo mật Netlogon dễ bị tấn công với bộ điều khiển miền, sử dụng Giao thức từ xa Netlogon (MS-NRPC). Kẻ tấn công khai thác thành công lỗ hổng có thể chạy một ứng dụng được chế tạo đặc biệt trên thiết bị mạng.
Để khai thác lỗ hổng, kẻ tấn công chưa được xác thực sẽ được yêu cầu sử dụng MS-NRPC để kết nối với bộ điều khiển miền để giành quyền truy cập quản trị viên miền.
Ở Samba, tính dễ bị tổn thương chỉ xuất hiện trên các hệ thống không sử dụng cài đặt "server schannel = yes", là mặc định kể từ Samba 4.8.
Đặc biệt, hệ thống có cài đặt "server schannel = no" và "server schannel = auto" có thể bị xâm phạm, cho phép Samba sử dụng các lỗi tương tự trong thuật toán AES-CFB8 như trong Windows.
Khi sử dụng nguyên mẫu tham chiếu khai thác sẵn sàng cho Windows, chỉ lệnh gọi ServerAuthenticate3 kích hoạt trong Samba và hoạt động ServerPasswordSet2 không thành công (khai thác yêu cầu thích ứng cho Samba).
Đó là lý do tại sao các nhà phát triển Samba mời những người dùng đã thực hiện thay đổi kênh máy chủ = có thành "không" hoặc "tự động", quay lại cài đặt mặc định "có" và do đó tránh được vấn đề về lỗ hổng bảo mật.
Không có gì được báo cáo về hiệu suất của các khai thác thay thế, mặc dù các nỗ lực tấn công hệ thống có thể được theo dõi bằng cách phân tích sự hiện diện của các mục nhập có đề cập đến ServerAuthenticate3 và ServerPasswordSet trong nhật ký kiểm tra Samba.
Microsoft đang giải quyết lỗ hổng trong quá trình triển khai hai giai đoạn. Các bản cập nhật này giải quyết lỗ hổng bảo mật bằng cách sửa đổi cách Netlogon xử lý việc sử dụng các kênh bảo mật của Netlogon.
Khi giai đoạn hai của bản cập nhật Windows có sẵn vào quý 2021 năm XNUMX, khách hàng sẽ được thông báo thông qua bản vá cho lỗ hổng bảo mật này.
Cuối cùng, đối với những ai là người dùng các phiên bản samba trước đó, hãy tiến hành cập nhật phù hợp lên phiên bản samba ổn định mới nhất hoặc chọn áp dụng các bản vá lỗi tương ứng để giải quyết lỗ hổng này.
Samba có một số biện pháp bảo vệ cho vấn đề này vì kể từ Samba 4.8, chúng tôi có giá trị mặc định là 'server schannel = yes'.
Người dùng đã thay đổi mặc định này được khuyến cáo rằng Samba thực hiện giao thức netlogon AES một cách trung thực và do đó rơi vào cùng một lỗ hổng thiết kế hệ thống mật mã.
Các nhà cung cấp hỗ trợ Samba 4.7 và các phiên bản trước đó phải vá các bản cài đặt và gói của họ để thay đổi mặc định này.
Chúng KHÔNG an toàn và chúng tôi hy vọng chúng có thể dẫn đến việc xâm phạm toàn bộ miền, đặc biệt là đối với các miền AD.
Cuối cùng, nếu bạn muốn biết thêm về nó về lỗ hổng này, bạn có thể kiểm tra các thông báo do nhóm samba đưa ra (trong liên kết này) hoặc của Microsoft (liên kết này).