Twórcy projektów Samby użytkowników, którzy ostatnio Luka w zabezpieczeniach systemu Windows ZeroLogin () oraz we wdrażaniu kontrolera domeny opartego na Sambie. Słaby punkt luki w protokole MS-NRPC i algorytmie kryptograficznym AES-CFB8, a jeśli zostaną pomyślnie wykorzystane, umożliwiają atakującemu uzyskanie dostępu administratora do kontrolera domeny.
Istota luki polega na tym, że protokół MS-NRPC (Netlogon Remote Protocol) umożliwia powrót do korzystania z połączenia RPC bez szyfrowania podczas wymiany danych uwierzytelniających. Osoba atakująca może następnie wykorzystać lukę w algorytmie AES-CFB8, aby sfałszować pomyślne logowanie. Aby zalogować się jako administrator, potrzeba średnio około 256 prób fałszowania. Aby przeprowadzić atak, nie trzeba posiadać działającego konta na kontrolerze domeny, można podejmować próby fałszowania przy użyciu nieprawidłowego hasła. Żądanie uwierzytelnienia NTLM zostanie przekierowane do kontrolera domeny, który zwróci odmowę dostępu, ale osoba atakująca może sfałszować tę odpowiedź, a zaatakowany system uzna logowanie za udane.
W Sambie luka występuje tylko w systemach, które nie używają ustawienia „server schannel = Yes”, które jest ustawieniem domyślnym od Samby 4.8. W szczególności zagrożone mogą być systemy z ustawieniami „server schannel = no” i „server schannel = auto”, co pozwala Sambie na korzystanie z tych samych wad algorytmu AES-CFB8, co w systemie Windows.
W przypadku korzystania z pliku referencyjnego przygotowanego w systemie Windows , w Sambie działa tylko wywołanie ServerAuthenticate3, a operacja ServerPasswordSet2 kończy się niepowodzeniem (exploit wymaga adaptacji dla Samby). Informacje na temat wydajności alternatywnych exploitów (, , , ) nic nie jest zgłaszane. Możesz śledzić ataki na systemy, analizując obecność wpisów wspominających ServerAuthenticate3 i ServerPasswordSet w dziennikach audytu Samby.
Źródło: opennet.ru