ProHoster > blog > notizie internet > L'implementazione di Samba di un controller di dominio è interessata dalla vulnerabilità ZeroLogin

L'implementazione di Samba di un controller di dominio è interessata dalla vulnerabilità ZeroLogin

Sviluppatori del progetto Samba avvertito utenti che di recente identificato Vulnerabilità di Windows ZeroLogin (CVE-2020-1472) si manifesta e nell'implementazione di un controller di dominio basato su Samba. Vulnerabilità causato difetti nel protocollo MS-NRPC e nell'algoritmo crittografico AES-CFB8 e, se sfruttato con successo, consente a un utente malintenzionato di ottenere l'accesso come amministratore su un controller di dominio.

L'essenza della vulnerabilità è che il protocollo MS-NRPC (Netlogon Remote Protocol) consente di ricorrere all'utilizzo di una connessione RPC senza crittografia durante lo scambio di dati di autenticazione. Un utente malintenzionato può quindi sfruttare un difetto nell'algoritmo AES-CFB8 per falsificare un accesso riuscito. In media, sono necessari circa 256 tentativi di spoofing per accedere come amministratore. Per effettuare un attacco non è necessario possedere un account funzionante su un controller di dominio; è possibile effettuare tentativi di spoofing utilizzando una password errata. La richiesta di autenticazione NTLM verrà reindirizzata al controller di dominio, che restituirà un rifiuto di accesso, ma l'aggressore può falsificare questa risposta e il sistema attaccato considererà l'accesso riuscito.

In Samba, la vulnerabilità appare solo su sistemi che non utilizzano l'impostazione "server schannel = yes", che è l'impostazione predefinita a partire da Samba 4.8. In particolare possono essere compromessi i sistemi con le impostazioni “server schannel = no” e “server schannel = auto”, che consentono a Samba di utilizzare gli stessi difetti nell'algoritmo AES-CFB8 di Windows.

Quando si utilizza un riferimento preparato da Windows sfruttare il prototipo, in Samba funziona solo la chiamata a ServerAuthenticate3 e l'operazione ServerPasswordSet2 fallisce (l'exploit richiede un adattamento per Samba). Informazioni sulle prestazioni degli exploit alternativi (1, 2, 3, 4) non viene riportato nulla. È possibile tenere traccia degli attacchi ai sistemi analizzando la presenza di voci che menzionano ServerAuthenticate3 e ServerPasswordSet nei log di controllo di Samba.

Fonte: opennet.ru

Aggiungi un commento