Уязвимость в Samba, позволяющая поменять пароль любому пользователю

Опубликованы корректирующие выпуски пакета Samba 4.16.4, 4.15.9 и 4.14.14 с устранением 5 уязвимостей. Выпуск обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, RHEL, SUSE, Arch, FreeBSD.

Наиболее опасная уязвимость (CVE-2022-32744) позволяет пользователям домена Active Directory изменить пароль любого пользователя, в том числе можно изменить пароль администратора и получить полный контроль над доменом. Проблема вызвана тем, что KDC принимает запросы kpasswd, зашифрованные любым известным ключом.

Злоумышленник, имеющий доступ к домену, может отправить фиктивный запрос установки нового пароля от имени другого пользователя, зашифровав его своим ключом, и KDC обработает его без проверки соответствия ключа учётной записи. В том числе для отправки фиктивных запросов могут использоваться ключи контроллеров домена, работающих только в режиме чтения (RODC), которые не имеют полномочий для смены паролей. В качестве обходного способа защиты можно отключить поддержку протокола kpasswd, добавив в smb.conf строку «kpasswd port = 0».

Другие уязвимости:

• CVE-2022-32746 — пользователи Active Directory через отправку специально оформленных LDAP-запросов «add» или «modify» могут инициировать обращение к памяти после её освобождения (use-after-free) в серверном процессе. Проблема вызвана тем, что модуль для ведения лога аудита обращается к содержимому LDAP-сообщения после того, как модуль работы с БД освобождает память, отведённую для сообщения. Для совершения атаки необходимо наличие прав на добавление или модификацию некоторых привилегированных атрибутов, таких как userAccountControl.
• CVE-2022-2031 — пользователи Active Directory могут обойти некоторые ограничения в контроллере домена. KDC и сервис kpasswd имеют возможность расшифровывать тикеты друг друга, так как совместно используют один набор ключей и учётных записей. Соответственно, пользователь, запросивший смену пароля, может использовать полученный тикет для доступа к другим сервисам.
• CVE-2022-32745 — пользователи Active Directory могут вызвать аварийное завершение серверного процесса через отправку LDAP-запросов «add» или «modify», приводящих к обращению к неинициализированным данным.
• CVE-2022-32742 — утечка информации о содержимом памяти сервера через манипуляции с протоколом SMB1. Клиент SMB1, имеющий право записи в совместное хранилище, может создать условия для записи отрывков содержимого памяти серверного процесса в файл или отправки на принтер. Атака производится через отправку запроса «write» с указанием некорректного диапазона. Проблема касается только веток Samba до 4.11 (в ветке 4.11 поддержка SMB1 отключена по умолчанию).

Источник: opennet.ru