Krytyczny błąd Samby może pozwolić każdemu zostać administratorem domeny – załataj teraz!

Samba to szeroko stosowany zestaw narzędzi typu open source, który nie tylko ułatwia komputerom z systemem Linux i Unix komunikowanie się z sieciami Windows, ale także umożliwia hostowanie domeny Active Directory w stylu Windows bez serwerów Windows.

Nazwa, jeśli kiedykolwiek się zastanawiałeś, jest szczęśliwie brzmiącą i łatwą do wypowiedzenia pochodną od SMB, skrót od Server Message Block, zastrzeżony protokół udostępniania plików, który sięga wczesnych lat 1980-tych.

Każdy, kto ma wystarczająco dużo pamięci, przypomni sobie, prawdopodobnie bez ogromnej ilości przywiązania, podłączanie komputerów z systemem OS/2 w celu udostępniania plików przy użyciu protokołu SMB przez NetBIOS.

Samba rozpoczęła życie na początku lat 1990. dzięki ciężkiej pracy australijskiego pioniera open source Andrew Tridgella, który na podstawie pierwszych zasad odkrył, jak działa SMB, aby mógł wdrożyć kompatybilną wersję dla Uniksa, gdy był zajęty doktoratem w Australian National Uniwersytet.

(Nawiasem mówiąc, doktorat Tridge'a był rsync, inny zestaw narzędzi programowych, który posiadasz prawdopodobnie używany w jakimś przebraniu, nawet jeśli nie zdajesz sobie z tego sprawy.)

SMB przekształciło się w CIFS, Wspólny internetowy system plików, kiedy został upubliczniony przez Microsoft w 1996 roku i od tego czasu stworzył SMB 2 i SMB 3, które nadal są zastrzeżonymi protokołami sieciowymi, ale ze specyfikacjami, które zostały oficjalnie opublikowane, dzięki czemu narzędzia takie jak Samba nie muszą już polegać na inżynierii wstecznej i zgadywanie, aby zapewnić kompatybilne implementacje.

Jak możesz sobie wyobrazić, użyteczność Samby oznacza, że ​​jest ona szeroko stosowana w światach Linuksa i Uniksa, w tym w domu, w chmurze, a nawet w sprzęcie sieciowym, takim jak domowe routery i urządzenia NAS.

(NAS to skrót od pamięć masowa podłączona do sieci, zazwyczaj pudełko pełne dysków twardych, które podłączasz do sieci LAN i które automatycznie wyświetlają się jako serwer plików, do którego mają dostęp wszystkie inne komputery).

Wydrukuj własny paszport!

Samba właśnie została zaktualizowana, aby naprawić szereg luk w zabezpieczeniach, w tym krytyczny błąd związany z resetowaniem hasła.

Jak wyszczególniono w najnowszym Informacje o wydaniu Samby, zostało poprawionych sześć błędów o numerach CVE, w tym te pięć…

…wraz z tym, który jest najpoważniejszy z całej partii, jak zobaczysz od razu z opisu błędu:

Teoretycznie CVE-2022-32744 błąd może zostać wykorzystany przez dowolnego użytkownika w sieci.

Mówiąc krótko, napastnicy mogą skłócić usługę zmiany hasła Samby, znaną jako kpasswd, poprzez serię nieudanych prób zmiany hasła…

…aż w końcu zaakceptował prośbę o zmianę hasła zostało to autoryzowane przez samych atakujących.

W slangu można to nazwać Wydrukuj własny paszport (PYOP), w którym jesteś proszony o udowodnienie swojej tożsamości, ale jesteś w stanie to zrobić, przedstawiając „oficjalny” dokument, który sam stworzyłeś.

Święta trójca cyberbezpieczeństwa

Jak podaje raport o błędzie Samby (nasz nacisk):

Bilety otrzymane przez kpasswd usługa została odszyfrowana bez określenia, że ​​należy wypróbować tylko własne klucze tej usługi. Ustawiając nazwę serwera biletu na zleceniodawcę powiązanego z ich własnym kontem lub wykorzystując rezerwę, w której znane klucze byłyby wypróbowywane, dopóki nie zostanie znaleziony odpowiedni, atakujący może sprawić, że serwer zaakceptuje bilety zaszyfrowane dowolnym kluczem, w tym własnym.

Użytkownik może w ten sposób zmienić hasło do konta Administratora i uzyskać pełną kontrolę nad domeną. Możliwa byłaby całkowita utrata poufności i integralności, a także dostępności poprzez odmowę użytkownikom dostępu do ich kont.

Jak pamiętasz z niemal każdego wprowadzenia do cyberbezpieczeństwa, jakie kiedykolwiek widziałeś, dostępność, poufność i integralność są „świętą trójcą” bezpieczeństwa komputerowego.

Te trzy zasady mają na celu zapewnienie: tylko Ty możesz przeglądać swoje prywatne dane (poufność); że nikt inny nie może z nim zadzierać, nawet jeśli sam nie może go przeczytać, nie uświadamiając sobie, że został uszlachetniony (integralność); i że nieupoważnione osoby nie mogą uniemożliwić Ci dostępu do własnych rzeczy (dostępność).

Oczywiście, jeśli każdy może zresetować hasło każdego (lub może chodzi nam o to, że każdy może zresetować hasło każdego), żadna z tych właściwości bezpieczeństwa nie ma zastosowania, ponieważ atakujący mogą uzyskać dostęp do Twojego konta, zmienić pliki i zablokować Cię.

Co robić?

Samba jest dostępna w trzech obsługiwanych wersjach: aktualnym, poprzednim i poprzednim.

Aktualizacje, które chcesz, są następujące:

• Jeśli używasz wersji 4.16, aktualizacja z wersji 4.16.3 lub wcześniejszej do 4.16.4
• Jeśli używasz wersji 4.15, aktualizacja z wersji 4.15.8 lub wcześniejszej do 4.15.9
• Jeśli używasz wersji 4.14, aktualizacja z wersji 4.14.13 lub wcześniejszej do 4.14.14

Jeśli nie możesz zaktualizować, niektóre z wymienionych powyżej błędów można złagodzić za pomocą zmian w konfiguracji, chociaż niektóre z tych zmian wyłączają funkcje, na których może polegać Twoja sieć, co uniemożliwiłoby korzystanie z tych konkretnych obejść.

Dlatego jak zawsze: Wczesne łatanie, łatanie często!

Jeśli używasz dystrybucji Linuksa lub BSD, która udostępnia Sambę jako pakiet do zainstalowania, powinieneś już mieć (lub wkrótce otrzymać) aktualizację za pośrednictwem menedżera pakietów swojej dystrybucji; w przypadku urządzeń sieciowych, takich jak skrzynki NAS, skontaktuj się z dostawcą, aby uzyskać szczegółowe informacje.

---