Kritischer Samba-Bug könnte dazu führen, dass jeder Domain-Admin wird – jetzt patchen!

Samba ist ein weit verbreitetes Open-Source-Toolkit, das es Linux- und Unix-Computern nicht nur leicht macht, mit Windows-Netzwerken zu kommunizieren, sondern es Ihnen auch ermöglicht, eine Active Directory-Domäne im Windows-Stil ohne Windows-Server zu hosten.

Der Name, falls Sie sich jemals gefragt haben, ist eine fröhlich klingende und leicht zu sagende Ableitung von SMB, kurz für Server Message Block, ein proprietäres Filesharing-Protokoll, das bis in die frühen 1980er Jahre zurückreicht.

Jeder, der über ausreichend Arbeitsspeicher verfügt, wird sich wahrscheinlich ohne viel Zuneigung daran erinnern, wie er OS/2-Computer angeschlossen hat, um Dateien mit SMB über NetBIOS gemeinsam zu nutzen.

Samba wurde in den frühen 1990er Jahren dank der harten Arbeit des australischen Open-Source-Pioniers Andrew Tridgell ins Leben gerufen, der von Anfang an herausfand, wie SMB funktionierte, damit er eine kompatible Version für Unix implementieren konnte, während er mit seiner Promotion an der Australian National beschäftigt war Universität.

(Tridges Doktortitel war übrigens rsync, ein weiteres Software-Toolkit, das Sie haben wahrscheinlich in irgendeiner Form verwendet, auch wenn Sie es nicht merken.)

Aus SMB wurde CIFS, die Gemeinsames Internet-Dateisystem, als es 1996 von Microsoft veröffentlicht wurde, und hat seitdem SMB 2 und SMB 3 hervorgebracht, die immer noch proprietäre Netzwerkprotokolle sind, aber mit Spezifikationen, die offiziell veröffentlicht werden, sodass Tools wie Samba nicht mehr auf Reverse Engineering angewiesen sind und Vermutungen, um kompatible Implementierungen bereitzustellen.

Wie Sie sich vorstellen können, bedeutet die Nützlichkeit von Samba, dass es in der Linux- und Unix-Welt weit verbreitet ist, einschließlich intern, in der Cloud und sogar auf Netzwerkhardware wie Heimroutern und NAS-Geräten.

(NAS ist die Abkürzung für Netzwerk angehängter Speicher, normalerweise eine Kiste voller Festplatten, die Sie an Ihr LAN anschließen und die automatisch als Dateiserver angezeigt wird, auf den alle Ihre anderen Computer zugreifen können.)

Drucken Sie Ihren eigenen Reisepass!

Samba wurde gerade aktualisiert, um eine Reihe von Sicherheitslücken zu beheben, einschließlich eines kritischen Fehlers im Zusammenhang mit dem Zurücksetzen von Passwörtern.

Wie im letzten beschrieben Samba-Versionshinweise, es wurden sechs CVE-nummerierte Bugs gepatcht, einschließlich dieser fünf …

… zusammen mit diesem, der der schwerwiegendste von allen ist, wie Sie sofort aus der Fehlerbeschreibung ersehen werden:

Theoretisch ist die CVE-2022-32744 Fehler könnte von jedem Benutzer im Netzwerk ausgenutzt werden.

Grob gesagt könnten Angreifer den Kennwortänderungsdienst von Samba, bekannt als kpasswd, durch eine Reihe von fehlgeschlagenen Versuchen, das Passwort zu ändern…

…bis es schließlich eine Anfrage zur Passwortänderung akzeptierte das wurde von den Angreifern selbst autorisiert.

Umgangssprachlich könnte man das als a bezeichnen Drucken Sie Ihren eigenen Reisepass aus (PYOP)-Angriff, bei dem Sie aufgefordert werden, Ihre Identität nachzuweisen, dies aber durch Vorlage eines „offiziellen“ Dokuments, das Sie selbst erstellt haben, tun können.

Die heilige Dreifaltigkeit der Cybersicherheit

Wie der Samba-Fehlerbericht es ausdrückt (unsere Betonung):

Tickets erhalten von der kpasswd -Dienst wurden entschlüsselt, ohne anzugeben, dass nur die eigenen Schlüssel dieses Dienstes versucht werden sollten. Durch Festlegen des Servernamens des Tickets auf einen Prinzipal, der mit ihrem eigenen Konto verknüpft ist, oder durch Ausnutzen eines Fallbacks, bei dem bekannte Schlüssel ausprobiert werden, bis ein geeigneter gefunden wurde, Ein Angreifer könnte den Server veranlassen, Tickets zu akzeptieren, die mit einem beliebigen Schlüssel verschlüsselt sind, einschließlich seines eigenen.

Ein Benutzer könnte somit Ändern Sie das Kennwort des Administratorkontos und erhalten Sie die vollständige Kontrolle über die Domäne. Ein vollständiger Verlust der Vertraulichkeit und Integrität sowie der Verfügbarkeit wäre möglich, indem Benutzern der Zugriff auf ihre Konten verweigert wird.

Wie Sie sich von fast jeder Einführung in die Cybersicherheit erinnern werden, die Sie je gesehen haben, Verfügbarkeit, Vertraulichkeit und Integrität sind die „heilige Dreifaltigkeit“ der Computersicherheit.

Diese drei Prinzipien sollen sicherstellen, dass nur Sie Ihre privaten Daten einsehen können (Vertraulichkeit); dass niemand sonst damit herumspielen kann, auch wenn sie es selbst nicht lesen können, ohne dass Sie darauf aufmerksam werden, dass es genobbelt wurde (Integrität); und dass Unbefugte Sie nicht daran hindern können, auf Ihre eigenen Inhalte zuzugreifen (Verfügbarkeit).

Wenn jeder das Passwort von jedem zurücksetzen kann (oder vielleicht meinen wir, wenn jeder das Passwort von jedem zurücksetzen kann), trifft keine dieser Sicherheitseigenschaften zu, da Angreifer in Ihr Konto eindringen, Ihre Dateien ändern und Sie aussperren können.

Was ist zu tun?

Samba gibt es in drei unterstützten Varianten: aktuell, vorhergehend und vorhergehend.

Die gewünschten Updates lauten wie folgt:

• Bei Verwendung der Version 4.16, Update von 4.16.3 oder früher auf 4.16.4
• Bei Verwendung der Version 4.15, Update von 4.15.8 oder früher auf 4.15.9
• Bei Verwendung der Version 4.14, Update von 4.14.13 oder früher auf 4.14.14

Wenn Sie nicht aktualisieren können, können einige der oben aufgeführten Fehler durch Konfigurationsänderungen gemildert werden, obwohl einige dieser Änderungen Funktionen deaktivieren, auf die Ihr Netzwerk möglicherweise angewiesen ist, was Sie daran hindern würde, diese speziellen Problemumgehungen zu verwenden.

Daher wie immer: Frühzeitig patchen, oft patchen!

Wenn Sie eine Linux- oder BSD-Distribution verwenden, die Samba als installierbares Paket bereitstellt, sollten Sie über den Paketmanager Ihrer Distribution bereits ein Update haben (oder bald erhalten); Informationen zu Netzwerkgeräten wie NAS-Boxen erhalten Sie von Ihrem Händler.

---