ProHoster > Blog > noticias de internet > La implementación del controlador de dominio Samba es vulnerable a la vulnerabilidad ZeroLogin

La implementación del controlador de dominio Samba es vulnerable a la vulnerabilidad ZeroLogin

Desarrolladores de proyectos Samba advertido usuarios que recientemente identificado Vulnerabilidad de Windows ZeroLogin (CVE-2020-1472) проявляется y en la implementación de un controlador de dominio basado en Samba. Vulnerabilidad causado fallas en el protocolo MS-NRPC y el algoritmo criptográfico AES-CFB8 y, si se explotan con éxito, permiten a un atacante obtener acceso de administrador en un controlador de dominio.

La esencia de la vulnerabilidad es que el protocolo MS-NRPC (Netlogon Remote Protocol) le permite recurrir a una conexión RPC sin cifrado al intercambiar datos de autenticación. Luego, un atacante puede aprovechar una falla en el algoritmo AES-CFB8 para falsificar un inicio de sesión exitoso. En promedio, se necesitan alrededor de 256 intentos de suplantación de identidad para iniciar sesión como administrador. Para llevar a cabo un ataque, no es necesario tener una cuenta funcional en un controlador de dominio; se pueden realizar intentos de suplantación de identidad utilizando una contraseña incorrecta. La solicitud de autenticación NTLM se redirigirá al controlador de dominio, que devolverá un rechazo de acceso, pero el atacante puede falsificar esta respuesta y el sistema atacado considerará que el inicio de sesión fue exitoso.

En Samba, la vulnerabilidad sólo aparece en sistemas que no utilizan la configuración “server schannel = yes”, que es la predeterminada desde Samba 4.8. En particular, los sistemas con las configuraciones “server schannel = no” y “server schannel = auto” pueden verse comprometidos, lo que permite a Samba utilizar los mismos fallos en el algoritmo AES-CFB8 que en Windows.

Cuando se utiliza una referencia preparada para Windows explotar prototipo, en Samba solo funciona la llamada a ServerAuthenticate3 y la operación ServerPasswordSet2 falla (el exploit requiere adaptación para Samba). Acerca del rendimiento de exploits alternativos (1, 2, 3, 4) no se informa nada. Puede realizar un seguimiento de los ataques a los sistemas analizando la presencia de entradas que mencionen ServerAuthenticate3 y ServerPasswordSet en los registros de auditoría de Samba.

Fuente: opennet.ru

Añadir un comentario