Opublikowano poprawki do Samby 4.15.2, 4.14.10 i 4.13.14, które usuwają osiem luk w zabezpieczeniach, z których większość może prowadzić do całkowitego przejęcia domeny Active Directory. Warto zauważyć, że jeden z problemów został naprawiony w 2016 roku, a pięć w 2020 roku. Jednak jedna poprawka uniemożliwiała uruchomienie Winbindd, gdy ustawione było ustawienie „allow trusted domains = no” (twórcy planują niezwłocznie opublikować kolejną aktualizację z poprawką). Publikację aktualizacji pakietów w dystrybucjach można śledzić na następujących stronach: Debian, Ubuntu, RHEL, SUSE, Fedora, Arch, FreeBSD.
Naprawione luki:
- CVE-2020-25717 – Z powodu błędu w logice mapowania użytkowników domeny na użytkowników systemu lokalnego użytkownik domeny Active Directory mający możliwość tworzenia nowych kont w swoim systemie, zarządzanym za pośrednictwem ms-DS-MachineAccountQuota, może uzyskać dostęp root do innych systemów w domenie. domena.
- CVE-2021-3738 to użycie po bezpłatnym dostępie w implementacji serwera Samba AD DC RPC (dsdb), które może potencjalnie prowadzić do eskalacji uprawnień podczas manipulowania połączeniami.
- CVE-2016-2124 — Połączenia klienckie nawiązywane przy użyciu protokołu SMB1 można przełączyć na przekazywanie parametrów uwierzytelniania w postaci zwykłego tekstu lub za pośrednictwem protokołu NTLM (na przykład w celu ustalenia danych uwierzytelniających podczas ataków MITM), nawet jeśli użytkownik lub aplikacja ma ustawienia określone jako obowiązkowe uwierzytelnianie poprzez Kerberos.
- CVE-2020-25722 – Kontroler domeny Active Directory oparty na Sambie nie przeprowadził prawidłowej kontroli dostępu do przechowywanych danych, umożliwiając każdemu użytkownikowi ominięcie kontroli uprawnień i całkowite naruszenie bezpieczeństwa domeny.
- CVE-2020-25718 – kontroler domeny Active Directory oparty na Sambie nie izolował poprawnie biletów Kerberos wydanych przez kontroler domeny RODC (kontroler domeny tylko do odczytu), które można było wykorzystać do uzyskania biletów administratora od kontrolera RODC bez posiadania na to pozwolenia.
- CVE-2020-25719 – Kontroler domeny Active Directory oparty na Sambie nie zawsze uwzględniał pola SID i PAC w biletach Kerberos (przy ustawieniu „gensec:require_pac = true” sprawdzana była tylko nazwa, a PAC nie był pobierany pod uwagę), co pozwoliło użytkownikowi, który ma uprawnienia do tworzenia kont w systemie lokalnym, podszywać się pod innego użytkownika w domenie, w tym także uprzywilejowanego.
- CVE-2020-25721 – W przypadku użytkowników uwierzytelnianych przy użyciu protokołu Kerberos nie zawsze był wydawany unikalny identyfikator Active Directory (objectSid), co mogło prowadzić do skrzyżowań między użytkownikami.
- CVE-2021-23192 — Podczas ataku MITM możliwe było sfałszowanie fragmentów dużych żądań DCE/RPC podzielonych na kilka części.
Źródło: opennet.ru
