Опубликованы корректирующие выпуски пакета Samba 4.15.2, 4.14.10 и 4.13.14 с устранением 8 уязвимостей, большинство из которых могут привести к полной компрометации домена Active Directory. Примечательно, что одну из проблем исправляли с 2016 года, а пять — с 2020 года, тем не менее одно исправление привело к невозможности запустить winbindd при наличии настройки «allow trusted domains = no» (разработчики намерены оперативно опубликовать ещё одно обновление с исправлением). Выпуск обновлений пакетов в дистрибутивах можно проследить на страницах: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Rettet sårbarheter:
- CVE-2020-25717 – På grunn av en feil i logikken for å tilordne domenebrukere til lokale systembrukere, kan en Active Directory-domenebruker med muligheten til å opprette nye kontoer på systemet sitt, administrert via ms-DS-MachineAccountQuota, få root-tilgang til andre systemer innenfor domenet. domene.
- CVE-2021-3738 er en bruk etter fri tilgang i Samba AD DC RPC-serverimplementeringen (dsdb), som potensielt kan føre til eskalering av privilegier ved manipulering av tilkoblinger.
- CVE-2016-2124 - Klientforbindelser opprettet ved hjelp av SMB1-protokollen kan byttes til å sende autentiseringsparametere i klartekst eller via NTLM (for eksempel for å bestemme legitimasjon under MITM-angrep), selv om brukeren eller applikasjonen har innstillingene spesifisert for obligatorisk autentisering via Kerberos.
- CVE-2020-25722 – En Samba-basert Active Directory-domenekontroller utførte ikke riktige tilgangskontroller på lagrede data, noe som tillot enhver bruker å omgå autorisasjonssjekker og fullstendig kompromittere domenet.
- CVE-2020-25718 – den Samba-baserte Active Directory-domenekontrolleren isolerte ikke Kerberos-billetter utstedt av RODC (Skrivebeskyttet domenekontroller), som kunne brukes til å skaffe administratorbilletter fra RODC uten tillatelse til å gjøre det.
- CVE-2020-25719 – Samba-basert Active Directory-domenekontroller tok ikke alltid hensyn til SID- og PAC-feltene i Kerberos-billetter (ved innstilling av "gensec:require_pac = true", ble bare navnet sjekket, og PAC-en ble ikke tatt into account), som tillot brukeren , som har rett til å opprette kontoer på det lokale systemet, etterligne en annen bruker i domenet, inkludert en privilegert.
- CVE-2020-25721 – For brukere som er autentisert med Kerberos, ble det ikke alltid utstedt en unik Active Directory-identifikator (objectSid), noe som kan føre til kryss mellom en bruker og en annen.
- CVE-2021-23192 - Under et MITM-angrep var det mulig å forfalske fragmenter i store DCE/RPC-forespørsler delt i flere deler.
Kilde: opennet.ru
