Opublikowano wersje naprawcze pakietów Samba 4.15.2, 4.14.10 i 4.13.14, w których usunięto 8 luk, z których większość może prowadzić do całkowitego naruszenia bezpieczeństwa domeny Active Directory. Warto zauważyć, że jeden z problemów został naprawiony od 2016 roku, a pięć od 2020 roku, przy czym jedna poprawka uniemożliwiała uruchomienie winbindd z ustawieniem „zezwól na zaufane domeny = nie” (programiści zamierzają szybko opublikować kolejną aktualizację z naprawić). Wydanie aktualizacji pakietów w dystrybucjach można śledzić na stronach: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Naprawione luki:
- CVE-2020-25717 - w związku z błędem w logice mapowania użytkowników domeny na użytkowników systemu lokalnego, użytkownik domeny Active Directory posiadający możliwość tworzenia nowych kont w swoim systemie, zarządzanym poprzez ms-DS-MachineAccountQuota, mógł uzyskać roota dostęp do innych systemów wchodzących w skład domeny.
- CVE-2021-3738 to użycie po bezpłatnym dostępie w implementacji serwera Samba AD DC RPC (dsdb), które może potencjalnie prowadzić do eskalacji uprawnień podczas manipulowania połączeniami.
- CVE-2016-2124 — Połączenia klienckie nawiązywane przy użyciu protokołu SMB1 można przełączyć na przekazywanie parametrów uwierzytelniania w postaci zwykłego tekstu lub za pośrednictwem protokołu NTLM (na przykład w celu ustalenia danych uwierzytelniających podczas ataków MITM), nawet jeśli użytkownik lub aplikacja ma ustawienia określone jako obowiązkowe uwierzytelnianie poprzez Kerberos.
- CVE-2020-25722 – Kontroler domeny Active Directory oparty na Sambie nie przeprowadził prawidłowej kontroli dostępu do przechowywanych danych, umożliwiając każdemu użytkownikowi ominięcie kontroli uprawnień i całkowite naruszenie bezpieczeństwa domeny.
- CVE-2020-25718 – kontroler domeny Active Directory oparty na Sambie nie izolował poprawnie biletów Kerberos wydanych przez kontroler domeny RODC (kontroler domeny tylko do odczytu), które można było wykorzystać do uzyskania biletów administratora od kontrolera RODC bez posiadania na to pozwolenia.
- CVE-2020-25719 – Kontroler domeny Active Directory oparty na Sambie nie zawsze uwzględniał pola SID i PAC w biletach Kerberos (przy ustawieniu „gensec:require_pac = true” sprawdzana była tylko nazwa, a PAC nie był pobierany pod uwagę), co pozwoliło użytkownikowi, który ma uprawnienia do tworzenia kont w systemie lokalnym, podszywać się pod innego użytkownika w domenie, w tym także uprzywilejowanego.
- CVE-2020-25721 – W przypadku użytkowników uwierzytelnianych przy użyciu protokołu Kerberos nie zawsze był wydawany unikalny identyfikator Active Directory (objectSid), co mogło prowadzić do skrzyżowań między użytkownikami.
- CVE-2021-23192 — Podczas ataku MITM możliwe było sfałszowanie fragmentów dużych żądań DCE/RPC podzielonych na kilka części.
Źródło: opennet.ru