Razvijalci projekta Samba so predstavili nedavno z obvestilom uporabnikom o odkritje ranljivosti «ZeroLogin» v sistemu Windows (CVE-2020-1472) in to tudi sTo se kaže v izvedbi iz krmilnika domene temelji na Sambi.
Ranljivost povzročajo napake v protokolu MS-NRPC in kripto algoritem AES-CFB8 in ob uspešnem izkoriščanju omogoča napadalec, da pridobi skrbniške pravice na krmilniku domene.
Bistvo ranljivosti je, da MS-NRPC (Netlogon Remote Protocol) omogoča izmenjavo podatkov za preverjanje pristnosti zateči se k uporabi povezave RPC brez šifriranja.
Nato lahko napadalec izkoristi napako v algoritmu AES-CFB8, da presvari (prevara) uspešno prijavo. Potrebno je približno 256 poskusov podvajanja za povprečno prijavo z skrbniškimi pravicami.
Za napad ni potreben delujoč račun na krmilniku domene; Poskusi lažne predstavitve se lahko izvedejo z napačnim geslom.
Zahteva za preverjanje pristnosti NTLM bo preusmerjena na krmilnik domene, ki bo vrnil zavrnjen dostop, toda napadalec lahko prevara ta odgovor in napadi sistem bo prijavo ocenil kot uspešno.
Ranljivost privilegij se poveča, ko napadalec vzpostavi ranljivo povezavo varnega kanala Netlogon z krmilnikom domene z uporabo oddaljenega protokola Netlogon (MS-NRPC). Napadalec, ki je uspešno izkoristil ranljivost, je lahko v omrežni napravi zagnal posebej izdelano aplikacijo.
Za izkoriščanje ranljivosti bi moral nepooblaščeni napadalec uporabiti MS-NRPC za povezavo s krmilnikom domene, da bi pridobil dostop skrbnika domene.
V Sambi, ranljivost se prikaže samo v sistemih, ki ne uporabljajo nastavitve "schannel server = yes", kar je privzeto od Sambe 4.8.
Še posebej sistemi z nastavitvama "server schannel = no" in "server schannel = auto" so lahko ogroženi, ki Sambi omogoča uporabo enakih napak v algoritmu AES-CFB8 kot v sistemu Windows.
Pri uporabi referenčnega prototipa izkoriščanja, pripravljenega za Windows, v Sambi sproži samo klic ServerAuthenticate3, operacija ServerPasswordSet2 pa ne uspe (izkoriščanje zahteva prilagoditev za Sambo).
Zato razvijalci Sambe povabijo uporabnike, ki so izvedli spremembo strežniški kanal = da na "ne" ali "samodejno", se vrnite na privzeto nastavitev "da" in se tako izognite težavi ranljivosti.
O uspešnosti alternativnih podvigov ni bilo poročano nič, čeprav je mogoče poskušati napasti sisteme z analizo prisotnosti vnosov z omembo ServerAuthenticate3 in ServerPasswordSet v revizijskih dnevnikih Samba.
Microsoft odpravlja ranljivost v dvofazni uvedbi. Te posodobitve odpravljajo ranljivost s spreminjanjem načina, kako Netlogon ravna z uporabo varnih kanalov Netlogon.
Ko bo v prvem četrtletju 2021 na voljo druga faza posodobitev sistema Windows, bodo stranke s popravkom obveščene o tej varnostni ranljivosti.
Za tiste, ki so uporabniki prejšnjih različic sambe, izvedite ustrezno posodobitev na najnovejšo stabilno različico sambe ali se odločite za uporabo ustreznih popravkov za odpravo te ranljivosti.
Samba ima nekaj zaščite za to težavo, saj imamo od Sambe 4.8 privzeto vrednost "schannel server = yes".
Uporabnike, ki so spremenili to privzeto, opozarjajo, da Samba zvesto izvaja protokol netlogon AES in tako pade na isto napako v zasnovi kriptosistema.
Ponudniki, ki podpirajo Samba 4.7 in starejše različice, morajo popraviti svoje namestitve in pakete, da spremenijo to privzeto.
NISO varni in upamo, da bodo lahko privedli do popolnega ogrožanja domen, zlasti za domene AD.
Končno, če vas zanima več o tem o tej ranljivosti lahko preverite obvestila ekipe sambe (na tej povezavi) ali tudi Microsoft (ta povezava).