Реализация контроллера домена в Samba оказалась подвержена уязвимости ZeroLogin

Разработчики проекта Samba предупредили пользователей, что недавно выявленная в Windows уязвимость ZeroLogin (CVE-2020-1472) проявляется и в реализации контроллера домена на базе Samba. Уязвимость вызвана недоработками в протоколе MS-NRPC и криптоалгоритме AES-CFB8, и при успешной эксплуатации позволяет злоумышленнику получить доступ администратора в контроллере домена.

Суть уязвимости в том, что протокол MS-NRPC (Netlogon Remote Protocol) позволяет при обмене данными аутентификации откатиться на использование RPC-соединения без шифрования. После этого атакующий может использовать брешь в алгоритме AES-CFB8 для подделки (спуфинга) успешного входа в систему. Для входа с правами администратора в среднем требуется около 256 попыток спуфинга. Для совершения атаки не требуется наличие рабочей учётной записи в контроллере домена — попытки спуфинга можно совершать с использованием неверного пароля. Запрос аутентификации через NTLM будет перенаправлен на контроллер домена, который вернёт отказ доступа, но атакующий может подменить данный ответ, и атакуемая система посчитает вход успешным.

В Samba уязвимость проявляется только в системах, не использующих настройку «server schannel = yes», которая начиная с Samba 4.8 выставлена по умолчанию. В частности скомпрометированы могут быть системы с настройками «server schannel = no» и «server schannel = auto», которые позволяют в Samba использовать те же недоработки в алгоритме AES-CFB8, что и в Windows.

При использовании подготовленного для Windows эталонного прототипа эксплоита, в Samba срабатывает только вызов ServerAuthenticate3, а операция ServerPasswordSet2 заканчивается сбоем (эксплоит требует адаптации для Samba). Про работоспособность альтернативных эксплоитов (1, 2, 3, 4) ничего не сообщается. Отследить попытки атаки на системы можно через анализ наличия записей с упоминанием ServerAuthenticate3 и ServerPasswordSet в логах аудита Samba.

Источник: opennet.ru