Samba projekti arendajad kasutajad, kes hiljuti Windows ZeroLogini haavatavus () ja Samba-põhise domeenikontrolleri juurutamisel. Haavatavus vead MS-NRPC protokollis ja AES-CFB8 krüptoalgoritmis ning eduka ärakasutamise korral võimaldab ründajal saada domeenikontrollerile administraatorijuurdepääs.
Haavatavuse olemus seisneb selles, et MS-NRPC (Netlogon Remote Protocol) protokoll võimaldab teil autentimisandmete vahetamisel naasta RPC-ühenduse kasutamisele ilma krüptimiseta. Seejärel saab ründaja eduka sisselogimise võltsimiseks ära kasutada AES-CFB8 algoritmi viga. Keskmiselt kulub administraatorina sisselogimiseks umbes 256 võltsimiskatset. Rünnaku läbiviimiseks ei pea domeenikontrolleris töötavat kontot omama, võltsimise katseid saab teha ka vale parooliga. NTLM-i autentimistaotlus suunatakse domeenikontrollerile, mis tagastab juurdepääsukeelu, kuid ründaja võib seda vastust võltsida ja rünnatav süsteem loeb sisselogimise edukaks.
Sambas ilmneb haavatavus ainult süsteemides, mis ei kasuta sätet „server channel = yes”, mis on alates Samba versioonist 4.8 vaikeseade. Eelkõige võivad ohtu sattuda süsteemid, mille seaded on "server schannel = no" ja "server schannel = auto", mis võimaldavad Sambal kasutada samu AES-CFB8 algoritmi vigu nagu Windowsis.
Kui kasutate Windowsi koostatud viidet , Sambas töötab ainult ServerAuthenticate3 kõne ja ServerPasswordSet2 toiming nurjub (kasutamine nõuab Samba jaoks kohandamist). Alternatiivsete ärakasutamiste toimimise kohta (, , , ) midagi ei teatata. Süsteemide vastu suunatud rünnakuid saate jälgida, kui analüüsite Samba auditilogides kirjete olemasolu, mis mainivad ServerAuthenticate3 ja ServerPasswordSet.
Allikas: opennet.ru