Badlock: Opravte svoj server Samba a Windows teraz

Keď nemecká firma SerNet oznámil, že na súborovom serveri Windows Server a jeho bratovi s otvoreným zdrojovým kódom sa vyskytli veľké chyby Samba, uškrnulo sa nad novinkou veľa ľudí. Mysleli si, že spoločnosť špecializujúca sa na podporu Samby oznamuje oprava chýb v Sambe bola o niečo viac ako sebapropagácia. To bolo tiež, ale Problémy so súborovým serverom Samba a Windows a nástrojmi na správu sú skutočné a potenciálne smrteľné.

Je to preto, že, ako vysvetlil Jeremy Allison, inžinier úložiska a open source spoločnosti Google a senior vývojár Samba: „Toto je úroveň protokolu zraniteľnosť." Konkrétne "vzdialený protokol Security Account Manager [MS-SAMR] a vzdialený protokol Local Security Authority (Domain Policy) [MS-LSAD] sú obe zraniteľné voči útokom typu man in middle. Oba sú protokoly na aplikačnej úrovni založené na generickom protokole DCE 1.1 Remote Procedure Call (DCERPC).

Alebo, inými slovami, Allison povedala: „Toto je naozaj zlé a naozaj to musíte opraviť. Ovplyvňuje každého, kto používa tieto služby RPC [remote procedure call]. Pretože rozhodnutia o dizajne siahajú až do Windows NT, používa ho každý jeden súborový server a všetky musia byť opravené. Keďže RPC sa používajú aj na vzdialený prístup správcu, takmer všetky servery Windows a Samba sú zraniteľné."

Red Hat súhlasí. Spoločnosť uvádza, že „súvisiace bezpečnostné problémy Badlock považuje za „kritické“ a vydala niekoľko odporúčaní a záplat. Odporúčame opraviť postihnuté systémy čo najskôr."

Presnejšie povedané, Badlock je zraniteľnosť protokolu, ktorá umožňuje útokom typu man-in-the-middle (MITM) vydávať sa za overeného používateľa proti Microsoft Active Directory. Ovplyvnené sú všetky verzie Samby. V prípade zneužitia by útočník mohol získať prístup na čítanie a zápis do databázy Security Account Manager (SAM), čím by potenciálne odhalil všetky používateľské heslá a ďalšie citlivé informácie.

Okrem toho sú tieto protokoly zvyčajne dostupné na všetkých inštaláciách Windows, ako aj na každom serveri Samba. Používajú sa na údržbu databázy SAM. Nezáleží na tom, ako prevádzkujete svoj server. Môže byť v samostatnom režime, člen domény alebo radič domény AD. Bez ohľadu na to, ako prevádzkujete svoj server, môže byť napadnutý.

Najhoršie je, že akékoľvek overené pripojenie DCERPC, ktoré klient iniciuje voči serveru, môže použiť MITM na zosobnenie overeného používateľa voči službe SAMR alebo LSAD na serveri.

A čo vaša bezpečnosť? Nepomôže to. Podľa Common Vulnerabilities and Exposure (CVE) si klient vybral aplikačný protokol, typ autorizácie (napr. Kerberos alebo NTLMSSP) a úroveň autorizácie (NONE, CONNECT, PKT_INTEGRITY, PKT_PRIVACY) v tomto prípad. Muž v strede môže zmeniť úroveň autorizácie na CONNECT (čo znamená overenie bez ochrany správ) a prevziať spojenie."

Okrem toho, že sa používa na hackovanie SAM, môže sa použiť aj na útoky odmietnutia služby na implementáciu klienta a servera DCE-RPC. Dá sa použiť proti Sambe vo všetkých možných rolách servera. Toto je bezpečnostná diera, ktorá stále dáva. V prípade Samby sú všetky verzie Samba od 3.6.0 do 4.4.0 sú zraniteľné.

Pre Windows Microsoft uvádza: „Toto aktualizácia zabezpečenia je hodnotená ako dôležitá pre všetky podporované vydania systému Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1 a Windows 10." Aj keď to Microsoft nespomína, zasiahne aj všetky staršie, už nepodporované verzie Windowsu od Windowsu NT. Ak ste niekedy potrebovali vážny bezpečnostný dôvod na inováciu starších verzií systému Windows, teraz ho máte.

Ak chcete opraviť Sambu ručne, K dispozícii sú bezpečnostné verzie Samba 4.4.2, 4.3.8 a 4.2.11 teraz. Aby som citoval Stránka s blokovaním, "Aktualizujte svoje systémy. Sme si celkom istí, že čoskoro dôjde k zneužitiu." Myslíš!?

Súvisiace príbehy:

• Badlock, bezpečnostná chyba hladná po publicite, je konečne opravená
• Badlock, ďalšia „veľká“ bezpečnostná chyba, ktorá uprednostňuje zisky pred záplatami
• Oprava Samba opravuje kritickú zraniteľnosť