Door een kritieke Samba-bug kan iedereen domeinbeheerder worden - patch nu!

Samba is een veelgebruikte open source-toolkit die het niet alleen gemakkelijk maakt voor Linux- en Unix-computers om met Windows-netwerken te praten, maar waarmee u ook een Active Directory-domein in Windows-stijl zonder Windows-servers kunt hosten.

De naam, voor het geval je je ooit hebt afgevraagd, is een vrolijk klinkende en gemakkelijk te zeggen afleiding van SMB, een afkorting voor Server Message Block, een eigen protocol voor het delen van bestanden dat teruggaat tot het begin van de jaren tachtig.

Iedereen met een geheugen dat lang genoeg is, herinnert zich, waarschijnlijk zonder een enorme hoeveelheid genegenheid, OS/2-computers aan te sluiten om bestanden te delen met SMB via NetBIOS.

Samba begon zijn leven in het begin van de jaren negentig dankzij het harde werk van de Australische open source-pionier Andrew Tridgell, die vanaf de eerste principes bedacht hoe SMB werkte, zodat hij een compatibele versie voor Unix kon implementeren terwijl hij bezig was met zijn doctoraat aan de Australian National Universiteit.

(Tridge's PhD was trouwens... rsync, een andere softwaretoolkit die je hebt waarschijnlijk gebruikt in een of andere gedaante, zelfs als u het niet beseft.)

SMB veranderde in CIFS, de Gemeenschappelijk internetbestandssysteem, toen het in 1996 door Microsoft openbaar werd gemaakt en sindsdien SMB 2 en SMB 3 heeft voortgebracht, die nog steeds eigen netwerkprotocollen zijn, maar met specificaties die officieel zijn gepubliceerd, zodat tools zoals Samba niet langer hoeven te vertrouwen op reverse engineering en giswerk om compatibele implementaties te bieden.

Zoals je je kunt voorstellen, betekent het nut van Samba dat het veel wordt gebruikt in de Linux- en Unix-wereld, inclusief in-house, in de cloud en zelfs op netwerkhardware zoals thuisrouters en NAS-apparaten.

(NAS staat voor netwerk gehechte opslag, meestal een doos vol harde schijven die u op uw LAN aansluit en die automatisch wordt weergegeven als een bestandsserver waartoe al uw andere computers toegang hebben.)

Print je eigen paspoort!

Samba is zojuist geüpdatet om een ​​aantal beveiligingsproblemen te verhelpen, waaronder een kritieke bug met betrekking tot het opnieuw instellen van wachtwoorden.

Zoals gedetailleerd in de laatste Samba-release-opmerkingen, zijn er zes CVE-genummerde bugs gepatcht, waaronder deze vijf...

…samen met deze, die de meest serieuze van het geheel is, zoals je meteen zult zien aan de bugbeschrijving:

In theorie is de CVE-2022-32744 bug kan worden misbruikt door elke gebruiker op het netwerk.

Losjes gezegd, aanvallers kunnen ruzie maken met Samba's service voor het wijzigen van wachtwoorden, bekend als kpasswd, door een reeks mislukte pogingen om wachtwoorden te wijzigen...

... totdat het uiteindelijk een verzoek om wachtwoordwijziging heeft geaccepteerd dat was geautoriseerd door de aanvallers zelf.

In jargon, dit is wat je zou kunnen noemen een Druk uw eigen paspoort af (PYOP)-aanval, waarbij u wordt gevraagd uw identiteit te bewijzen, maar dit kunt doen door een "officieel" document te overleggen dat u zelf hebt gemaakt.

De heilige drie-eenheid van cyberbeveiliging

Zoals het Samba-bugrapport het stelt (onze nadruk):

Tickets ontvangen door de kpasswd service werden gedecodeerd zonder te specificeren dat alleen de eigen sleutels van die service moeten worden geprobeerd. Door de servernaam van het ticket in te stellen op een principal die is gekoppeld aan hun eigen account, of door gebruik te maken van een fallback waarbij bekende sleutels zouden worden geprobeerd totdat een geschikte werd gevonden, een aanvaller kan ervoor zorgen dat de server tickets accepteert die zijn versleuteld met elke sleutel, inclusief die van hen.

Een gebruiker zou dus kunnen verander het wachtwoord van het beheerdersaccount en krijg totale controle over het domein. Volledig verlies van vertrouwelijkheid en integriteit zou mogelijk zijn, evenals van beschikbaarheid door gebruikers de toegang tot hun accounts te ontzeggen.

Zoals je je zult herinneren van bijna elke introductie over cyberbeveiliging die je ooit hebt gezien, beschikbaarheid, vertrouwelijkheid en integriteit zijn de "heilige drie-eenheid" van computerbeveiliging.

Die drie principes zijn bedoeld om ervoor te zorgen: dat u alleen uw privégegevens (vertrouwelijkheid); dat niemand er anders mee kan rotzooien, zelfs als ze het zelf niet kunnen lezen, zonder dat je je ervan bewust bent dat het is opgehemeld (integriteit); en dat onbevoegde partijen niet kunnen voorkomen dat u toegang krijgt tot uw eigen spullen (beschikbaarheid).

Het is duidelijk dat als iemand ieders wachtwoord kan resetten (of misschien bedoelen we als iedereen ieders wachtwoord kan resetten), geen van deze beveiligingseigenschappen van toepassing is, omdat aanvallers je account kunnen binnendringen, je bestanden kunnen wijzigen en je kunnen buitensluiten.

Wat te doen?

Samba wordt geleverd in drie ondersteunde smaken: huidig, vorige en vorige.

De gewenste updates zijn als volgt:

• Bij gebruik van versie 4.16, update van 4.16.3 of eerder naar 4.16.4
• Bij gebruik van versie 4.15, update van 4.15.8 of eerder naar 4.15.9
• Bij gebruik van versie 4.14, update van 4.14.13 of eerder naar 4.14.14

Als u niet kunt updaten, kunnen sommige van de hierboven genoemde bugs worden verholpen door configuratiewijzigingen, hoewel sommige van die wijzigingen functionaliteit uitschakelen waarop uw netwerk kan vertrouwen, waardoor u die specifieke tijdelijke oplossingen niet kunt gebruiken.

Daarom, zoals altijd: Patch vroeg, patch vaak!

Als je een Linux- of BSD-distro gebruikt die Samba als een installeerbaar pakket levert, zou je al een update moeten hebben (of binnenkort ontvangen) via de pakketbeheerder van je distro; voor netwerkapparaten zoals NAS-boxen, neem contact op met uw leverancier voor details.

---