Раскрыты (https://www.samba.org/samba/latest_news.html#4.4.2) подробности об анонсированной в марте уязвимости Badlock (http://badlock.org/) (CVE-2016-2118 (https://www.samba.org/samba/security/CVE-2016-2118.html)), которая затрагивает почти все версии Windows и Samba. Уязвимость оказалась не столько критичной (CVSS 7.1/6.4 из 10) как предполагалось и может быть использована для совершения MITM-атаки, при наличии у злоумышленника доступа к шлюзу или локальной сети клиента или сервера, или для инициирования удалённого отказа в обслуживании (DoS). Проблема устранена в выпусках Samba 4.4.2, 4.3.8 и 4.2.11 (исправления для веток 4.0, 4.1 и 3.x не выпущено, так как их поддержка уже прекращена), в которых также исправлено ещё семь уязвимостей (https://www.samba.org/samba/history/security.html).Суть уязвимости Badlock сводится к тому, что атакующий, способный перехватить DCERPC-трафик между клиентом и сервером, может отправить от имени клиента собственные команды и выполнить на сервере операции с данными в соответствии с привилегиями перехваченного пользователя. Наибольшую опасность представляют атаки, в результате которых может быть перехвачен трафик администратора контроллера домена, что позволяет злоумышленникам получить доступ к просмотру и изменению БД контроллера домена, в том числе к базе хэшей паролей. В случае обычного файлового сервера, атакующие могут изменить права доступа к файлам или директориям.
В рамках работы по устранению уязвимости в конфигурации представлена новая директива "allow dcerpc auth level connect", управляющая доступом к протоколу DCERPC при аутентификации только соединения (по умолчанию доступ запрещён). Также изменён применяемый по умолчанию уровень аутентифицированных привязок, вместо DCERPC_AUTH_LEVEL_CONNECT теперь предлагается DCERPC_AUTH_LEVEL_INTEGRITY, подразумевающий применения дополнительного контроля целостности по цифровой подписи не только при инициировании соединения, но и для каждого сообщения. Дополнительно администраторам рекомендовано применить настройки
"server signing = mandatory" и "ntlm auth = no", без которых угроза проведения MITM-атаки сохраняется для файловых серверов и классических контроллеров домена NT4/Samba3, но ценой включения данных настроек является значительное снижение производительности.
Другие устранённые уязвимости:
- CVE-2015-5370 (https://www.samba.org/samba/security/CVE-2015-5370) (серия ошибок в коде DCE-RPC)
- CVE-2016-2110 (https://www.samba.org/samba/security/CVE-2016-2110) (MITM-атака в реализации NTLMSSP)
- CVE-2016-2111 (https://www.samba.org/samba/security/CVE-2016-2111) (спуфинг NETLOGON)
- CVE-2016-2112 (https://www.samba.org/samba/security/CVE-2016-2112) (проблемы с включением проверки целостности в клиенте и сервере LDAP)
- CVE-2016-2113 (https://www.samba.org/samba/security/CVE-2016-2113) (отсутствие проверки сертификата TLS)
- CVE-2016-2114 (https://www.samba.org/samba/security/CVE-2016-2115) (не применяется "server signing = mandatory")
- CVE-2016-2115 (https://www.samba.org/samba/security/CVE-2016-2115) (отсутствие защиты целостности трафика SMB IPC)
URL: https://www.samba.org/samba/latest_news.html#4.4.2
Новость: https://www.opennet.ru/opennews/art.shtml?num=44229