Er zijn corrigerende releases van het Samba-pakket 4.15.2, 4.14.10 en 4.13.14 gepubliceerd met de eliminatie van 8 kwetsbaarheden, waarvan de meeste kunnen leiden tot een volledige inbreuk op het Active Directory-domein. Het is opmerkelijk dat een van de problemen sinds 2016 is opgelost, en vijf sinds 2020. Eén oplossing maakte het echter onmogelijk om winbindd te starten met de instelling “vertrouwde domeinen toestaan = nee” (de ontwikkelaars zijn van plan snel nog een update te publiceren met een repareren). De release van pakketupdates in distributies kan worden gevolgd op de pagina's: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Vaste kwetsbaarheden:
- CVE-2020-25717 - vanwege een fout in de logica van het toewijzen van domeingebruikers aan lokale systeemgebruikers, kan een Active Directory-domeingebruiker die de mogelijkheid heeft om nieuwe accounts op zijn systeem aan te maken, beheerd via ms-DS-MachineAccountQuota, root worden toegang tot andere systemen die deel uitmaken van het domein.
- CVE-2021-3738 is een gebruik na vrije toegang in de Samba AD DC RPC-serverimplementatie (dsdb), wat mogelijk zou kunnen leiden tot escalatie van bevoegdheden bij het manipuleren van verbindingen.
- CVE-2016-2124 - Clientverbindingen die tot stand zijn gebracht met behulp van het SMB1-protocol kunnen worden omgeschakeld naar het doorgeven van authenticatieparameters in gewone tekst of via NTLM (bijvoorbeeld om inloggegevens te bepalen tijdens MITM-aanvallen), zelfs als de gebruiker of applicatie de instellingen heeft opgegeven voor verplichte authenticatie via Kerberos.
- CVE-2020-25722 – Een op Samba gebaseerde Active Directory-domeincontroller voerde geen goede toegangscontroles uit op opgeslagen gegevens, waardoor elke gebruiker autoriteitscontroles kon omzeilen en het domein volledig in gevaar kon brengen.
- CVE-2020-25718 – de op Samba gebaseerde Active Directory-domeincontroller isoleerde Kerberos-tickets uitgegeven door de RODC (alleen-lezen domeincontroller) niet correct, die konden worden gebruikt om beheerderstickets van de RODC te verkrijgen zonder daarvoor toestemming te hebben.
- CVE-2020-25719 – Op Samba gebaseerde Active Directory-domeincontroller hield niet altijd rekening met de SID- en PAC-velden in Kerberos-tickets (bij de instelling “gensec:require_pac = true” werd alleen de naam gecontroleerd en werd de PAC niet gebruikt into account), waardoor de gebruiker, die het recht heeft om accounts op het lokale systeem aan te maken, zich kon voordoen als een andere gebruiker in het domein, inclusief een bevoorrechte gebruiker.
- CVE-2020-25721 – Voor gebruikers die zijn geverifieerd met Kerberos, werd niet altijd een unieke Active Directory-identifier (objectSid) uitgegeven, wat kon leiden tot kruispunten tussen de ene gebruiker en de andere.
- CVE-2021-23192 - Tijdens een MITM-aanval was het mogelijk om fragmenten te spoofen in grote DCE/RPC-verzoeken die in verschillende delen waren opgesplitst.
Bron: opennet.ru