Критическая ошибка Samba может позволить любому стать администратором домена — исправьте сейчас!

Samba — это широко используемый набор инструментов с открытым исходным кодом, который не только упрощает взаимодействие компьютеров Linux и Unix с сетями Windows, но также позволяет размещать домен Active Directory в стиле Windows вообще без серверов Windows.

Название, если вы когда-нибудь задумывались, это приятно звучащее и легко произносимое производное от SMB, сокращение от Сервер Блок сообщение, проприетарный протокол обмена файлами, который восходит к началу 1980-х годов.

Любой, у кого достаточно памяти, вспомнит, вероятно, без особого энтузиазма, как подключал компьютеры OS/2 для обмена файлами с помощью SMB через NetBIOS.

Самба зародилась в начале 1990-х годов благодаря тяжелой работе австралийского пионера открытого исходного кода Эндрю Триджелла, который из первых принципов понял, как работает SMB, чтобы он мог реализовать совместимую версию для Unix, пока он был занят своей докторской диссертацией в Австралийском национальном университете. Университет.

(кстати, докторская степень Триджа была rsync, еще один программный инструментарий, который вы вероятно, используется в каком-то обличье, даже если вы этого не понимаете.)

SMB превратился в CIFS, Общая Интернет Файловая Система, когда он был обнародован Microsoft в 1996 году, и с тех пор породил SMB 2 и SMB 3, которые по-прежнему являются проприетарными сетевыми протоколами, но с официально опубликованными спецификациями, поэтому такие инструменты, как Samba, больше не должны полагаться на обратное проектирование и догадки для обеспечения совместимых реализаций.

Как вы можете себе представить, полезность Samba означает, что она широко используется в мирах Linux и Unix, в том числе внутри компании, в облаке и даже на сетевом оборудовании, таком как домашние маршрутизаторы и устройства NAS.

(NAS — это сокращение от Network Attached Storage, как правило, это коробка с жесткими дисками, которую вы подключаете к своей локальной сети и которая автоматически отображается как файловый сервер, к которому могут получить доступ все остальные ваши компьютеры.)

Распечатайте свой собственный паспорт!

Samba только что была обновлена, чтобы исправить ряд уязвимостей безопасности, в том числе критическую ошибку, связанную со сбросом пароля.

Как подробно описано в последнем Примечания к выпуску Samba, исправлено шесть ошибок с номерами CVE, в том числе эти пять…

…вместе с этой, самой серьезной из всех, как вы сразу увидите из описания ошибки:

В теории CVE-2022-32744 ошибка может быть использована любым пользователем в сети.

Грубо говоря, злоумышленники могут взломать службу смены паролей Samba, известную как kpasswd, через серию неудачных попыток смены пароля…

… пока, наконец, не принял запрос на смену пароля что было санкционировано самими злоумышленниками.

Говоря жаргонным языком, это то, что вы могли бы назвать Распечатайте свой собственный паспорт (PYOP) атака, когда вас просят подтвердить свою личность, но вы можете сделать это, представив «официальный» документ, который вы создали сами.

Святая троица кибербезопасности

Как говорится в отчете об ошибке Samba (выделено нами):

Билеты, полученные kpasswd службы были расшифрованы без указания того, что следует пробовать только собственные ключи этой службы. Установив имя сервера билета для принципала, связанного с их собственной учетной записью, или используя запасной вариант, при котором известные ключи будут опробованы до тех пор, пока не будет найден подходящий, злоумышленник может заставить сервер принимать билеты, зашифрованные любым ключом, включая их собственный.

Таким образом, пользователь мог изменить пароль учетной записи администратора и получить полный контроль над доменом. Возможна полная потеря конфиденциальности и целостности, а также доступности из-за отказа пользователям в доступе к своим учетным записям.

Как вы помните практически из любого введения в кибербезопасность, которое вы когда-либо видели, свободных мест, конфиденциальность и целостность являются «святой троицей» компьютерной безопасности.

Эти три принципа предназначены для обеспечения того, чтобы только вы могли просматривать свои личные данные (конфиденциальность); что никто другой не может возиться с этим, даже если они сами не могут прочитать это, не давая вам знать, что это было облагорожено (целостность); и что неавторизованные стороны не могут помешать вам получить доступ к вашим собственным материалам (свободных мест).

Ясно, что если любой может сбросить любой пароль (или, возможно, мы имеем в виду, если каждый может сбросить любой пароль), ни одно из этих свойств безопасности не применяется, потому что злоумышленники могут получить доступ к вашей учетной записи, изменить ваши файлы и заблокировать вас.

Что делать?

Samba поставляется в трех поддерживаемых вариантах: текущий, предыдущий и предварительный.

Обновления, которые вы хотите, следующие:

• При использовании версии 4.16, обновить с 4.16.3 или более ранней до 4.16.4
• При использовании версии 4.15, обновить с 4.15.8 или более ранней до 4.15.9
• При использовании версии 4.14, обновить с 4.14.13 или более ранней до 4.14.14

Если вы не можете выполнить обновление, некоторые из перечисленных выше ошибок можно устранить с помощью изменений конфигурации, хотя некоторые из этих изменений отключают функции, на которые может полагаться ваша сеть, что не позволяет вам использовать эти конкретные обходные пути.

Поэтому как всегда: Патч рано, патч часто!

Если вы используете дистрибутив Linux или BSD, который предоставляет Samba в качестве устанавливаемого пакета, у вас уже должно быть (или скоро должно получиться) обновление через диспетчер пакетов вашего дистрибутива; для сетевых устройств, таких как блоки NAS, уточните подробности у своего поставщика.

---