Byla zveřejněna opravná vydání balíčku Samba 4.15.2, 4.14.10 a 4.13.14 s odstraněním 8 zranitelností, z nichž většina může vést k úplné kompromitaci domény Active Directory. Je pozoruhodné, že jeden z problémů byl opraven od roku 2016 a pět od roku 2020, avšak jedna oprava znemožnila spuštění winbindd s nastavením „povolit důvěryhodné domény = ne“ (vývojáři hodlají rychle publikovat další aktualizaci s opravit). Vydání aktualizací balíčků v distribucích lze sledovat na stránkách: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Opravené chyby zabezpečení:
- CVE-2020-25717 – kvůli chybě v logice mapování uživatelů domény na uživatele místního systému může uživatel domény Active Directory, který má možnost vytvářet nové účty ve svém systému spravovaném prostřednictvím ms-DS-MachineAccountQuota, získat root přístup k dalším systémům zahrnutým v doméně.
- CVE-2021-3738 je Použití po volném přístupu v implementaci serveru Samba AD DC RPC (dsdb), které by mohlo potenciálně vést k eskalaci oprávnění při manipulaci s připojeními.
- CVE-2016-2124 – Klientská připojení vytvořená pomocí protokolu SMB1 lze přepnout na předávání ověřovacích parametrů ve formátu prostého textu nebo prostřednictvím NTLM (například k určení přihlašovacích údajů během útoků MITM), a to i v případě, že uživatel nebo aplikace má nastavení zadaná pro povinné ověřování přes Kerberos.
- CVE-2020-25722 – Řadič domény Active Directory založený na Sambě neprovedl správné kontroly přístupu k uloženým datům, což umožnilo jakémukoli uživateli obejít kontroly oprávnění a zcela kompromitovat doménu.
- CVE-2020-25718 – řadič domény Active Directory založený na Sambě správně neizoloval lístky Kerberos vydané řadičem domény jen pro čtení, které lze použít k získání lístků správce z řadiče domény jen pro čtení, aniž by k tomu měli oprávnění.
- CVE-2020-25719 – řadič domény Active Directory založený na Sambě nebral vždy v úvahu pole SID a PAC v lístcích Kerberos (při nastavení „gensec:require_pac = true“ byl zkontrolován pouze název a PAC nebyl převzat do účtu), což umožnilo uživateli, který má právo vytvářet účty na lokálním systému, vydávat se za jiného uživatele v doméně, včetně privilegovaného.
- CVE-2020-25721 – Pro uživatele ověřené pomocí Kerberos nebyl vždy vydán jedinečný identifikátor služby Active Directory (objectSid), což by mohlo vést k průnikům mezi jedním uživatelem a druhým.
- CVE-2021-23192 – Během útoku MITM bylo možné zfalšovat fragmenty ve velkých požadavcích DCE/RPC rozdělených do několika částí.
Zdroj: opennet.ru