El error crítico de Samba podría permitir que cualquiera se convierta en administrador de dominio: ¡parche ahora!

Samba es un conjunto de herramientas de código abierto ampliamente utilizado que no solo facilita que las computadoras Linux y Unix se comuniquen con las redes de Windows, sino que también le permite alojar un dominio de Active Directory al estilo de Windows sin ningún servidor de Windows.

El nombre, en caso de que alguna vez te lo hayas preguntado, es una derivación alegre y fácil de pronunciar de SMB, abreviatura de Server Message Block, un protocolo patentado para compartir archivos que se remonta a principios de la década de 1980.

Cualquiera con una memoria lo suficientemente larga recordará, probablemente sin mucho afecto, conectar computadoras OS/2 para compartir archivos usando SMB sobre NetBIOS.

Samba nació a principios de la década de 1990 gracias al arduo trabajo del pionero australiano de código abierto Andrew Tridgell, quien descubrió a partir de principios básicos cómo funcionaba SMB para poder implementar una versión compatible para Unix mientras estaba ocupado con su doctorado en el Australian National Universidad.

(El doctorado de Tridge, por cierto, fue rsync, otro conjunto de herramientas de software que ha probablemente usado de alguna manera, incluso si no te das cuenta.)

SMB se convirtió en CIFS, el Sistema de archivos de Internet común, cuando Microsoft lo hizo público en 1996, y desde entonces ha generado SMB 2 y SMB 3, que aún son protocolos de red propietarios, pero con especificaciones que se publican oficialmente para que herramientas como Samba ya no tengan que depender de la ingeniería inversa y conjeturas para proporcionar implementaciones compatibles.

Como puede imaginar, la utilidad de Samba significa que se usa ampliamente en los mundos de Linux y Unix, incluso de forma interna, en la nube e incluso en hardware de red como enrutadores domésticos y dispositivos NAS.

(NAS es la abreviatura de almacenamiento conectado a la red, generalmente una caja llena de discos duros que conecta a su LAN y que aparece automáticamente como un servidor de archivos al que pueden acceder todas sus otras computadoras).

¡Imprima su propio pasaporte!

Samba acaba de actualizarse para corregir una serie de vulnerabilidades de seguridad, incluido un error crítico relacionado con el restablecimiento de contraseñas.

Como se detalla en la última Notas de la versión de Samba, hay seis errores numerados CVE corregidos, incluidos estos cinco...

…junto con este, que es el más grave de todos, como verá inmediatamente en la descripción del error:

En teoría, el CVE-2022-32744 El error podría ser explotado por cualquier usuario en la red.

En pocas palabras, los atacantes podrían disputar el servicio de cambio de contraseña de Samba, conocido como kpasswd, a través de una serie de intentos fallidos de cambio de contraseña...

…hasta que finalmente aceptó una solicitud de cambio de contraseña que fue autorizado por los propios atacantes.

En términos de jerga, esto es lo que podrías llamar un Imprima su propio pasaporte (PYOP), en el que se le pide que pruebe su identidad, pero puede hacerlo presentando un documento "oficial" que usted mismo creó.

La santa trinidad de la ciberseguridad

Como dice el informe de error de Samba (nuestro énfasis):

Entradas recibidas por el kpasswd servicio se descifraron sin especificar que solo se deben probar las claves propias de ese servicio. Al establecer el nombre del servidor del ticket en un principal asociado con su propia cuenta, o al explotar un respaldo en el que se probarían las claves conocidas hasta que se encontrara una adecuada. un atacante podría hacer que el servidor aceptara boletos encriptados con cualquier clave, incluida la suya propia.

Un usuario podría así cambie la contraseña de la cuenta de Administrador y obtenga el control total sobre el dominio. Sería posible la pérdida total de la confidencialidad y la integridad, así como de la disponibilidad al negar a los usuarios el acceso a sus cuentas.

Como recordará de casi cualquier introducción sobre seguridad cibernética que haya visto, disponibilidad, confidencialidad y integridad son la “santa trinidad” de la seguridad informática.

Esos tres principios están destinados a garantizar: que solo usted pueda ver sus datos privados (confidencialidad); que nadie más puede meterse con él, incluso si no pueden leerlo ellos mismos, sin que te des cuenta de que ha sido nobbled (integridad); y que las partes no autorizadas no pueden evitar que acceda a sus propias cosas (disponibilidad).

Claramente, si cualquiera puede restablecer la contraseña de todos (o tal vez queremos decir si todos pueden restablecer la contraseña de cualquiera), ninguna de esas propiedades de seguridad se aplica, porque los atacantes pueden ingresar a su cuenta, cambiar sus archivos y bloquearlo.

¿Qué hacer?

Samba viene en tres sabores admitidos: actual, anterior y anterior.

Las actualizaciones que desea son las siguientes:

• Si usa la versión 4.16, actualice desde 4.16.3 o anterior a 4.16.4
• Si usa la versión 4.15, actualice desde 4.15.8 o anterior a 4.15.9
• Si usa la versión 4.14, actualice desde 4.14.13 o anterior a 4.14.14

Si no puede actualizar, algunos de los errores enumerados anteriormente se pueden mitigar con cambios de configuración, aunque algunos de esos cambios desactivan la funcionalidad en la que podría confiar su red, lo que le impediría utilizar esas soluciones alternativas particulares.

Por eso, como siempre: ¡Parche temprano, parche a menudo!

Si usa una distribución de Linux o BSD que proporciona Samba como un paquete instalable, ya debería tener (o debería recibir pronto) una actualización a través del administrador de paquetes de su distribución; para dispositivos de red como cajas NAS, consulte con su proveedor para obtener más detalles.

---