The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Раскрыты детали уязвимости Badlock в Samba

12.04.2016 21:50

Раскрыты подробности об анонсированной в марте уязвимости Badlock (CVE-2016-2118), которая затрагивает почти все версии Windows и Samba. Уязвимость оказалась не столько критичной (CVSS 7.1/6.4 из 10) как предполагалось и может быть использована для совершения MITM-атаки, при наличии у злоумышленника доступа к шлюзу или локальной сети клиента или сервера, или для инициирования удалённого отказа в обслуживании (DoS). Проблема устранена в выпусках Samba 4.4.2, 4.3.8 и 4.2.11 (исправления для веток 4.0, 4.1 и 3.x не выпущено, так как их поддержка уже прекращена), в которых также исправлено ещё семь уязвимостей.

Суть уязвимости Badlock сводится к тому, что атакующий, способный перехватить DCERPC-трафик между клиентом и сервером, может отправить от имени клиента собственные команды и выполнить на сервере операции в соответствии с привилегиями перехваченного пользователя. Наибольшую опасность представляют атаки, в результате которых может быть перехвачен трафик администратора контроллера домена, что позволяет злоумышленникам получить доступ к просмотру и изменению БД контроллера домена, в том числе к базе хэшей паролей. В случае обычного файлового сервера, атакующие могут изменить права доступа к файлам или директориям.

В рамках работы по устранению уязвимости в файле конфигурации представлена новая директива "allow dcerpc auth level connect", управляющая доступом к протоколу DCERPC при аутентификации только на этапе установки соединения (по умолчанию доступ в режиме DCERPC_AUTH_LEVEL_CONNECT теперь запрещён). Также изменён применяемый по умолчанию уровень аутентифицированных привязок, вместо DCERPC_AUTH_LEVEL_CONNECT теперь предлагается DCERPC_AUTH_LEVEL_INTEGRITY, подразумевающий применение дополнительного контроля целостности по цифровой подписи не только при инициировании соединения, но и для каждого сообщения. Дополнительно администраторам рекомендовано применить настройки "server signing = mandatory" и "ntlm auth = no", без которых угроза проведения MITM-атаки сохраняется для файловых серверов и классических контроллеров домена NT4/Samba3, но ценой включения данных настроек является значительное снижение производительности.

Другие устранённые уязвимости:

  • CVE-2015-5370 (серия ошибок в коде DCE-RPC)
  • CVE-2016-2110 (MITM-атака в реализации NTLMSSP)
  • CVE-2016-2111 (спуфинг NETLOGON)
  • CVE-2016-2112 (проблемы с включением проверки целостности в клиенте и сервере LDAP)
  • CVE-2016-2113 (отсутствие проверки сертификата TLS)
  • CVE-2016-2114 (не применяется "server signing = mandatory")
  • CVE-2016-2115 (отсутствие защиты целостности трафика SMB IPC)


  1. Главная ссылка к новости (https://www.samba.org/samba/la...)
  2. OpenNews: Релиз Samba 4.4.0 с поддержкой многоканального SMB3
  3. OpenNews: Критическая уязвимость в Samba
  4. OpenNews: В Samba 4.1.11 и 4.0.21 устранена критическая уязвимость в реализации NetBIOS
  5. OpenNews: Критическая удалённая уязвимость в Samba, предоставляющая root-доступ к серверу
  6. OpenNews: Обновление Samba 4.3.6, 4.2.9 и 4.1.23 с устранением опасных уязвимостей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/44229-badlock
Ключевые слова: badlock, samba, smb
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (47) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, grec (?), 22:04, 12/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > (исправления для веток 4.0, 4.1 и 3.x не выпущено, так как их поддержка уже прекращена),

    Идиотизм. Разработчики софта и дистрибутивов живут на разных планетах, по видимому.

     
     
  • 2.6, Аноним (-), 23:06, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • –4 +/
    До боли напоминает подход шиндоус.
     
     
  • 3.10, cmp (ok), 23:57, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    То есть распространение бытовых роутеров, с прошивкой "до марта" с этого момента приравнивать к распространению наркотиков, пересажать все ОПГ - которыми станут крупные сети, а всех у кого дома найдут роутер отстранить от управления тс, поставить на учет и принудить пройти курс лечения, ага.
     
     
  • 4.13, Admino (ok), 01:25, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А роутеры всё равно не обновляют, даже если обновление от разработчика выйдет.
     
     
  • 5.21, cmp (ok), 07:41, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну, так-то на них и дефолтный пароль не меняют. Вопрос обширный, но если проводить аналогии, то даже если въехать в новую квартиру и не сменить замки, то полиция заявление о краже из квартиры примит, а вот кража номера кредитки с компа, вообще не преступление, вора посадят только если за руку поймают, а халатность, или тупость, или злой умысел, производителей, распространителей или пользователей до лампочки. Была бы воля навести порядок, а расписать что-да-как дело не хитрое.
     
     
  • 6.28, scorry (ok), 10:44, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну, так-то на них и дефолтный пароль не меняют.

    Ну это не везде, поверьте.

     
  • 3.18, Аноним (-), 06:42, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Ты готов убивать любого, чьё мнение отличается от твоего? "Какой твоё любимый цвет?" "Красный" "Умри, сволочь!" А что если ты фанат полит. партии X, а твоя родная мама проголосует за партию Y? Ты откажешься от мамы?
     
     
  • 4.23, Коля (?), 08:19, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    конечно! зачем такая мама? другую найду.
     
  • 3.30, Michael Shigorin (ok), 11:30, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Так шлите же патчи!

    PS 2 greg: таким обычно дистрибутивы занимаются.

     
  • 2.9, kerneliq (ok), 23:51, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Даже в centos 4.2
     
  • 2.27, Аноним (-), 10:25, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Было бы прикольно, если бы пользователи устаревшей самбы при подключении шары ловили в лог "This software is outdated!!! Please upgrade!!!".
     
     
  • 3.31, Аноним (-), 12:24, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >пользователи
    >в лог

    Как там у вас, в Валиноре, погодка?

     
     
  • 4.32, kerneliq (ok), 13:53, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А что такого? Прилетит им в лог, но они его не будут смотреть.
     
  • 3.38, Аноним (-), 13:39, 15/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ну зачем тайбомбу в лог.. лучше сразу на экран как xscreensaver. "Я устарел. Я мухожук. Срочно обновите. Ибо код писать мы не умеем и в нашей поделке стопудово куча дыр". Особенно органично смотрится на линукс-терминале. Это же просто мечта, чтобы софт не выполнял свою задачу, а гадил алертами. Даешь идею в апстрим!

     

  • 1.2, Аноним (-), 22:08, 12/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ну вот банальный MITM и DoS, а столько шуму устроили, даже имя отдельное для уязвимости выдумали.

    То ли дело прошлогодняя дыра https://www.opennet.ru/opennews/art.shtml?num=41713 без громких имён, но зато даёт возможность выполнить свой код на стороне сервера с правами root через отправку сетевого пакета.

     
     
  • 2.3, Disaron (ok), 22:15, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Ну вот банальный MITM и DoS, а столько шуму устроили, даже имя отдельное для уязвимости выдумали.

    Это потому, что прошлогодняя дыра затрагивала только самбу, а это и винду тоже.

     
  • 2.4, Аноним (-), 22:27, 12/04/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Страх и истерия - хлеб для всяких "экспертов по безопасности".
     
     
  • 3.41, Аноним (-), 04:14, 16/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Страх и истерия - хлеб для всяких "экспертов по безопасности".

    В данном случае есть повод. Можно перехватить управление IT в большой компании с множеством филиалов. Это слабое место технологий типа AD: взлом контроллера домена эквивалентен взлому всех машин домена. Все это используется в множестве компаний из Fortune top 500 и не только. Они будут рады новым "техническим директорам".

     
  • 2.40, Анонис (?), 04:08, 16/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Этот банальный MITM позволяет небанально получить права enterprise admin в active directory. Админ всех компьютеров домена. Поставить троянца на все 2000 компьютеров организации - с такими правами банально. Столь же банально сменить всей компании пароли. После этого админы дружно лишатся прав, а надежно выставить злоумышленника из большой сети с филиалами в разных городах станет почти невозможно. Так выглядит АД любителей AD.
     

  • 1.5, 123 (??), 22:41, 12/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >>способный перехватить DCERPC-трафик

    Человек имеющий слепок ключей от машины таки сможет её открыть.

    >>в результате которых может быть перехвачен трафик администратора контроллера домена,

    Вы все еще сидите под root?


     
     
  • 2.26, maximnik0 (?), 09:53, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Вы все еще сидите под root?

    Новости внимательно не читаем ? Проблем в реализации протокола ,то есть затрагивает и виндовс, и в принципе если как писали что в Маке SMB работает на основе библиотек SAMBы,может затрагивать и Эпл компьютеры.

     
     
  • 3.36, soarin (ok), 18:57, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    У apple своя SMBX
    Сомневаюсь, что подвержена этой уязвимости.
     
  • 3.39, Аноним (-), 13:44, 15/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Новости внимательно не читаем ? Проблем в реализации протокола ,то есть затрагивает
    > и виндовс

    Мы да. А вы нет. Если существует "трафик администратора контроллера домена", значит кто-то сидит под Администратором домена. Что есть антипаттерн. О чем и написал предыдущий оратор.

     
     
  • 4.42, Аноним (-), 04:17, 16/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Представь себе, администратор AD иногда логинится, по делам администраторским. Этого достаточно чтобы перехватить управление инфраструктурой. Вообще всей.
     

  • 1.11, й (?), 00:36, 13/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > исправления для веток 4.0, 4.1 и 3.x не выпущено, так как их поддержка уже прекращена

    горячо передают привет:
    * Debian 8 от 2015 года с 4.1
    * Ubuntu LTS от 2014 года с 4.0

    CentOS 7 не передаёт, там 4.2.

     
     
  • 2.12, Anonplus (?), 01:17, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А это проблемы мейнтейнеров дистрибутивов. Если у дистра политика "долго поддерживать", то бэкпортируют фиксы самостоятельно.
     
     
  • 3.14, Admino (ok), 01:26, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > А это проблемы мейнтейнеров дистрибутивов. Если у дистра политика "долго поддерживать",
    > то бэкпортируют фиксы самостоятельно.

    Да, скорее всего, дебианщики быстро сделают, убунтушники быстро к себе утащат, всё будет хорошо.

     
  • 3.33, й (?), 15:06, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    а вот и нет. samba выпустила патчи и для старых выпусков: https://www.samba.org/samba/history/security.html

    но это именно патчи, а релиз с новой циферкой не сделала.

     
  • 2.15, Аноним (-), 02:44, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    ubuntu-server 16.04

    samba-4.3
    азазаза

     
  • 2.16, soarin (ok), 04:43, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ubuntu LTS от 2014 года с 4.1
     
     
  • 3.34, kerneliq (ok), 17:38, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    centos 7 от 2014 с 4.2
    ОПС?
     
     
  • 4.37, soarin (ok), 20:29, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Я не понял при чем тут Обязательное Пенсионное Страхование, но centos 7 позже вышел, так что логично.
     
  • 2.17, tyuiop (?), 06:34, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    * Ubuntu LTS от 2012 года

    Должна же ещё поддерживаться

     
  • 2.35, Пользователь Debian (?), 18:27, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Для Debian будут выпущены обновлённые версии для Wheezy (oldstable) и Jessie (текущий stable).

    Сегодня тестировал пакеты по просьбе разработчиков (https://lists.debian.org/debian-security/2016/04/msg00040.html).

     
     
  • 3.44, Nobody (??), 19:25, 23/04/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Хреново тестировал, в новой самбе багов больше чем во всем Linux вместе взятом. Теперь невозможно зайти без пароля на компьютеры с OS Windows 7-10, тоже самое с локальными принтерами. Другой баг заключается в том, что самба через какое-то время перестает отображать всю сеть, только после многочисленных рефрешей снова показывает. ИМХО за такое качество ПО я бы руки разрабам оторвал, разве что оно бесплатное и типа никто никому ничего не должен. Хотя в таком случае пусть и дальше могилу роют свободному программному обеспечению, с таким подходом чувствую конец скоро. Похоже этих го в но кодеров с работы повыгоняли, теперь они за самбу принялись от нехрен делать.
     
     
  • 4.45, scorry (ok), 22:27, 23/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > ... с таким подходом чувствую конец скоро.

    Вряд ли. Ты же живой, а твоё существование доказывает, что даже нежизнеспособные системы сопротивляются исчезновению.

     
     
  • 5.46, Nobody (??), 22:38, 23/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ты наркоман что ли? Когда рухнула линуховая сеть из-за последнего обновления самбы, было принято решение отказаться от линуха совсем и это в достаточно крупной организации, сейчас постепенно выпиливаем его и ставим ось от мелкомягких, ибо задрало, что перед каждым обновлением систем нужно молиться, чтобы ничего не упало. Сейчас уже закупили лицензии осей от мелкомягких, ибо там обновления системы делают программисты-руками, а не криворукие школьники и гумнокодеры.
     
     
  • 6.48, scorry (ok), 15:12, 24/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты наркоман что ли? Когда рухнула линуховая сеть из-за последнего обновления самбы,
    > было принято решение отказаться от линуха совсем и это в достаточно
    > крупной организации, сейчас постепенно выпиливаем его и ставим ось от мелкомягких,
    > ибо задрало, что перед каждым обновлением систем нужно молиться, чтобы ничего
    > не упало. Сейчас уже закупили лицензии осей от мелкомягких, ибо там
    > обновления системы делают программисты-руками, а не криворукие школьники и гумнокодеры.

    Кормишься, зелёное? :-) Не, ты тут не наешься.

     
     
  • 7.49, Nobody (??), 15:35, 24/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Кормишься, зелёное? :-) Не, ты тут не наешься.

    Да ты упopoт))


     

  • 1.19, nonecto (?), 06:44, 13/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    тем не менее, ядро линукс динамили всё это время. А теперь ВАХ шайтан 4.5.1
     
  • 1.20, Аноним (-), 07:37, 13/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ща посмотрим на шапкину поддержку релиза до 2020го года
     
     
  • 2.22, Аноним (-), 07:45, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да, пофиксили, поддержка работает
     

  • 1.25, Андрей (??), 09:15, 13/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    «... затрагивает почти все версии Windows и Samba».
    Это, что «by design» что ли? Т.е. на уровне архитектуры и тех спеков, которые использут как разработчики windows, так и samba? o_O
     
     
  • 2.29, КО (?), 11:06, 13/04/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да протокол позволяет не требовать подписывать каждый пакет.
     

  • 1.43, Noname (??), 23:45, 21/04/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    И как теперь организовывать безпарольный доступ к шарам и принтерам? Они че там с дуба рухнули? Где взять мануалы по настройке новой самбы?
     
     
  • 2.47, Nobody (??), 23:12, 23/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > И как теперь организовывать безпарольный доступ к шарам и принтерам? Они че
    > там с дуба рухнули? Где взять мануалы по настройке новой самбы?

    Да им глубоко нас рать, они очередное глючилово выс рали, которое кто-то в тяжелом угаре писал, а вы товарищи кушайте это гумно половником)) Ставь ось от мелкомягких и не парься, один раз поставил и забыл, сейчас сеть с Win7 регулярно обновляеся и проблем нет, носимся как курица с яйцом только вокруг линуховых машин (Debian), там то одно отвалится, то другое не работает, одно поднимешь, другое упадет и так все время))


     
     
  • 3.50, Noname (??), 10:19, 26/04/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Да уж, закрыли дырку в безопасности и попутно окончательно поломали самбу, молодцы что тут скажешь. Так и придется наверное ставить Windows, если в ближайшее время не поправят.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру