Розробники проекту Samba оприлюднили нещодавно через оголошення користувачам про виявлення вразливості «ZeroLogin» у Windows (CVE-2020-1472), а це також sЦе проявляється у здійсненні з контролера домену на основі Самби.
Вразливість спричинене збоями в протоколі MS-NRPC та крипто-алгоритм AES-CFB8, і при успішному використанні дозволяє зловмиснику отримати права адміністратора на контролері домену.
Суть вразливості полягає в тому, що MS-NRPC (віддалений протокол Netlogon) дозволяє обмін даними аутентифікації вдаються до використання зв’язку RPC відсутність шифрування.
Потім зловмисник може використати недолік алгоритму AES-CFB8, щоб підробити (підмінити) успішний вхід. Потрібно приблизно 256 спроб спуфінгу для входу в середньому з правами адміністратора.
Для атаки не потрібен робочий обліковий запис на контролері домену; Спроби видавання себе за іншу особу можна зробити за допомогою неправильного пароля.
Запит на автентифікацію NTLM буде перенаправлено на контролер домену, який поверне заборонений доступ, але зловмисник може підробити цю відповідь, і атакована система вважатиме вхід успішним.
Уразливість привілеїв підвищується, коли зловмисник встановлює вразливе з'єднання захищеного каналу Netlogon з контролером домену за допомогою віддаленого протоколу Netlogon (MS-NRPC). Зловмисник, який успішно використав уразливість, міг запустити спеціально створений додаток на мережевому пристрої.
Щоб використати уразливість, несанкціонованому зловмиснику потрібно буде використовувати MS-NRPC для підключення до контролера домену, щоб отримати доступ адміністратора домену.
У Самба, вразливість з'являється лише в системах, які не використовують параметр "серверний канал = так", що є типовим з Самба 4.8.
Зокрема системи з налаштуваннями "server schannel = no" і "server schannel = auto" можуть бути скомпрометовані, що дозволяє Samba використовувати ті ж недоліки в алгоритмі AES-CFB8, що і в Windows.
При використанні еталонного прототипу експлоїту, готового для Windows, у Samba спрацьовує лише виклик ServerAuthenticate3, і операція ServerPasswordSet2 не вдається (експлойт вимагає адаптації для Samba).
Ось чому розробники Samba запрошують користувачів, які внесли зміни до серверний канал = так до "ні" або "авто", поверніться до значення за замовчуванням "так" і тим самим уникніть проблеми вразливості.
Про ефективність альтернативних експлойтів нічого не повідомлялося, хоча спроби атакувати системи можна відстежувати, аналізуючи наявність записів із згадуванням ServerAuthenticate3 та ServerPasswordSet у журналах аудиту Samba.
Корпорація Майкрософт усуває уразливість у двофазному розгортанні. Ці оновлення усувають уразливість, змінюючи спосіб, яким Netlogon обробляє використання захищених каналів Netlogon.
Коли в І кварталі 2021 року стане доступним другий етап оновлення Windows, клієнти отримають повідомлення про виправлення для цієї вразливості системи безпеки.
Нарешті, для тих, хто користується попередніми версіями самби, виконайте відповідне оновлення до останньої стабільної версії самби або застосуйте відповідні виправлення для вирішення цієї вразливості.
Samba має певний захист від цієї проблеми, оскільки починаючи з Samba 4.8 ми маємо значення за замовчуванням 'server schannel = yes'.
Користувачів, які змінили це значення за замовчуванням, попереджають, що Samba сумлінно реалізує протокол AES netlogon і, таким чином, потрапляє до тієї ж вади дизайну криптосистеми.
Постачальники, які підтримують Samba 4.7 та попередні версії, повинні виправити їх інсталяції та пакети, щоб змінити це за замовчуванням.
Вони НЕ захищені, і ми сподіваємось, що вони можуть призвести до повного компрометації доменів, особливо для доменів AD.
Нарешті, якщо вам цікаво дізнатись більше про це щодо цієї вразливості ви можете перевірити повідомлення, зроблені командою самби (за цим посиланням) або також корпорацією Майкрософт (ця посилання).