De Samba-patches 4.15.2, 4.14.10 en 4.13.14 zijn uitgebracht. Deze patches verhelpen acht kwetsbaarheden, waarvan de meeste kunnen leiden tot een volledige compromittering van een Active Directory-domein. Opvallend is dat één van de problemen al sinds 2016 is verholpen en vijf sinds 2020. Eén patch verhinderde echter dat winbindd werd uitgevoerd wanneer de instelling "allow trusted domains = no" was ingeschakeld (de ontwikkelaars zijn van plan om snel een nieuwe update met deze oplossing uit te brengen). De release van pakketupdates in distributies kan worden gevolgd op de volgende pagina's: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Vastgestelde kwetsbaarheden:
- CVE-2020-25717 - Door een fout in de logica voor het toewijzen van domeingebruikers aan lokale systeemgebruikers, kon een Active Directory-domeingebruiker met de mogelijkheid om nieuwe accounts op zijn systeem aan te maken (beheerd via ms-DS-MachineAccountQuota) roottoegang verkrijgen tot andere systemen binnen het domein. domeinnaam.
- CVE-2021-3738 - Een kwetsbaarheid in de Samba AD DC RPC-server (dsdb) die 'after free' wordt genoemd, kan mogelijk leiden tot privilege-escalatie bij het manipuleren van de verbindingsinstellingen.
- CVE-2016-2124 - Clientverbindingen die via het SMB1-protocol tot stand zijn gebracht, kunnen worden omgeleid om authenticatieparameters in platte tekst of via NTLM te verzenden (bijvoorbeeld om referenties voor MITM-aanvallen te bepalen), zelfs als de gebruiker of toepassing is geconfigureerd om Kerberos-authenticatie te vereisen.
- CVE-2020-25722 - Een Samba-gebaseerde Active Directory-domeincontroller voerde geen juiste toegangscontroles uit op opgeslagen gegevens, waardoor elke gebruiker machtigingscontroles kon omzeilen en het domein volledig in gevaar kon brengen.
- CVE-2020-25718 - Een Samba-gebaseerde Active Directory-domeincontroller isoleerde Kerberos-tickets die werden uitgegeven door een alleen-lezen domeincontroller (RODC) niet op de juiste manier. Deze tickets konden worden gebruikt om beheerderstickets van de RODC te verkrijgen zonder dat de gebruiker daartoe bevoegd was.
- CVE-2020-25719 - Een Samba-gebaseerde Active Directory-domeincontroller hield niet altijd rekening met de SID- en PAC-velden in Kerberos-tickets in een bundel (bij het instellen van "gensec:require_pac = true" werd alleen de naam gecontroleerd en werd de PAC niet meegenomen), waardoor een gebruiker met het recht om accounts op het lokale systeem aan te maken, zich kon voordoen als een andere gebruiker in het domein, inclusief een bevoorrechte gebruiker.
- CVE-2020-25721 - Kerberos-geverifieerde gebruikers kregen niet altijd unieke Active Directory-id's (objectSid), waardoor het kon gebeuren dat de ene gebruiker de andere overlapte.
- CVE-2021-23192 - Bij het uitvoeren van een MITM-aanval was het mogelijk om fragmenten te vervangen in grote DCE/RPC-verzoeken die in verschillende delen waren opgesplitst.
Bron: opennet.ru
