The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Реализация контроллера домена в Samba оказалась подвержена уязвимости ZeroLogin

17.09.2020 12:01

Разработчики проекта Samba предупредили пользователей, что недавно выявленная в Windows уязвимость ZeroLogin (CVE-2020-1472) проявляется и в реализации контроллера домена на базе Samba. Уязвимость вызвана недоработками в протоколе MS-NRPC и криптоалгоритме AES-CFB8, и при успешной эксплуатации позволяет злоумышленнику получить права администратора в контроллере домена.

Суть уязвимости в том, что протокол MS-NRPC (Netlogon Remote Protocol) позволяет при обмене данными аутентификации откатиться на использование RPC-соединения без шифрования. После этого атакующий может использовать брешь в алгоритме AES-CFB8 для подделки (спуфинга) успешного входа в систему. Для входа с правами администратора в среднем требуется около 256 попыток спуфинга. Для совершения атаки не требуется наличие рабочей учётной записи в контроллере домена - попытки спуфинга можно совершать с использованием неверного пароля. Запрос аутентификации через NTLM будет перенаправлен на контроллер домена, который вернёт отказ доступа, но атакующий может подменить данный ответ, и атакуемая система посчитает вход успешным.

В Samba уязвимость проявляется только в системах, не использующих настройку "server schannel = yes", которая начиная с Samba 4.8 выставлена по умолчанию. В частности скомпрометированы могут быть системы с настройками "server schannel = no" и "server schannel = auto", которые позволяют в Samba использовать те же недоработки в алгоритме AES-CFB8, что и в Windows.

При использовании подготовленного для Windows эталонного прототипа эксплоита, в Samba срабатывает только вызов ServerAuthenticate3, а операция ServerPasswordSet2 заканчивается сбоем (эксплоит требует адаптации для Samba). Про работоспособность альтернативных эксплоитов (1, 2, 3, 4) ничего не сообщается. Отследить попытки атаки на системы можно через анализ наличия записей с упоминанием ServerAuthenticate3 и ServerPasswordSet в логах аудита Samba.

Дополнение: Вышли обновления Samba с исправлениями.

  1. Главная ссылка к новости (https://www.mail-archive.com/s...)
  2. OpenNews: Выпуск Samba 4.12.0
  3. OpenNews: Выпуск Samba 4.11.0
  4. OpenNews: Обновление Samba 4.10.8 и 4.9.13 с устранением уязвимости
  5. OpenNews: Уязвимость в Samba, позволяющая выполнить код на сервере
  6. OpenNews: Критическая уязвимость в Heimdal Kerberos, затрагивающая Samba 4
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/53728-samba
Ключевые слова: samba, domain, ad, windows
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (62) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 12:32, 17/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –10 +/
    Люди сведующие, подскажите пожалуйста.
    Чем лучше расшаривать ~/Uploads, на ноуте, по быстрому, для друзей? Везде выпиливают фтп, и уже не у всех в офисе можно встретить клиент для него. Смузи-мальчики с DAV серверами чтоли покусали, не в теме особо.

    Samba-дыра-костыль-тоработаютонет не рассматривается, nfs особоая какая-то штука сильно не привлекает.

    Уже лет .цать используется ftps://vsftpd-jail. Но может в 2020 появилась таки альтернатива на фоне активных отказов?

     
     
  • 2.3, Аноним (3), 12:37, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +13 +/
    python -m http.server чё б нет
     
     
  • 3.67, Аноним (67), 00:46, 20/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    nginx web-dav не?
     
  • 2.5, Аноним (5), 12:44, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Да расшарь ты через nginx и сделай там autoindex, всё. (сам так делаю)
     
     
  • 3.7, лор (?), 12:46, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Хм, на слух выглядит элегантно )
    Спасибо, попробую!
     
     
  • 4.8, дло (?), 12:46, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Но как же аплоад???
     
     
  • 5.13, Аноним (13), 12:54, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • –3 +/
    PHP скрипт для аплоада с бейсик авторизацией на урл.
     
     
  • 6.15, ждл (?), 12:59, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +6 +/
    Ну т.е. ситуация патовая и мы тем самым это признаём )
     
     
  • 7.68, Аноним (67), 00:47, 20/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не просто чувак не знает про модль web-dav но знает что можно программировать на php
     
  • 5.20, Moomintroll (ok), 13:22, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Но как же аплоад???

    nginx умеет WebDAV: https://nginx.org/ru/docs/http/ngx_http_dav_module.html

     
     
  • 6.31, Sylvia (ok), 16:47, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    плохо он умеет.
    Без PROPFIND ничего работать нормально не будет.

    https://github.com/arut/nginx-dav-ext-module
    нужен доп. модуль.

     
  • 5.35, Аноним (35), 17:47, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Есть ngx_http_dav_module. Достаточно включить PUT.
    После этого очень удобно заливать файлы/директории через lftp (да, он умеет HTTP).
     
  • 2.19, GG (ok), 13:09, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    ssh/sftp
     
  • 2.21, a (??), 13:50, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    self-hosted NextCloud.
     
     
  • 3.22, j.hb (?), 13:54, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Охренеть.. на тебе тот жепег на 20Кб, что я вчера обещал для презентации. Щас запущу только шарманку. И добавлю в автозагрузку.
     
     
  • 4.24, ьбт (?), 13:57, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    В общем то ясно что стоит оставаться на ftps еще какое-то время, пока что vsftpd живёт и кушать не просит. Страдает меньшинство, как раз меньше всего интересное? что само по себе интересно )
    По всей видимости, придётся таки снова возиться с этой помойкой samba. Может наконец всё как-то по человечески наконец там стало..
     
  • 4.51, n242name (?), 06:15, 18/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    кинул его в токс и делов то
     
  • 2.25, ryoken (ok), 14:17, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    KDEConnect
     
     
  • 3.39, фыв (??), 18:47, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    iPhone/WinTablet/Windows laptop/etc etc etc?
     
     
  • 4.59, Спарта (?), 12:40, 19/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да, все что указано в списке, кроме, скорее всего, IPona!
     
  • 2.27, Аноним (-), 14:27, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Начинай учить rust, потом у тебя просто не будет друзей - проблема решена !
     
     
  • 3.40, kjhkjh (?), 18:48, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше уж это, чем с такими якшаться.
     
  • 3.69, Аноним (67), 00:50, 20/09/2020 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Друзей станет заметно меньше, а так да учи PHP и каждый будет просить тебя создать сайт
    А что б жену завести нужно интересно куда идти ?
     
     
  • 4.72, Led (ok), 15:31, 21/09/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > А что б жену завести нужно интересно куда идти ?

    Смотря куда завести нужно.

     
  • 2.29, freehck (ok), 15:47, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Уже лет .цать используется ftps://vsftpd-jail

    Зачем менять то, что работает?

    > Чем лучше расшаривать ~/Uploads, на ноуте, по быстрому, для друзей?

    Ну если uploads, то самое простое, что можно придумать -- это завести другу аккаунт в системе, и нехай он через rsync загружают своё добро.

    Если друг не совсем друг, и надо его ограничить в свободе, то легче всего как раз старый добрый vsftpd поставить. Он там будет тусоваться в своём маленьком чруте, из которого не вылезти.

    Если друг недалёкий, то вообще для этого нынче принято использовать гуглодиск / дропбокс.

    У меня для этих целей есть домашний Synology NAS. Его quickconnect позволяет организовать отправку файлов простым drug-n-drop из файлового менеджера в браузер.

     
     
  • 3.33, Васисуалий Лопата (?), 17:33, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    drUg-n-drop - госнаркоконтоль уже заинтересован...
     
     
  • 4.34, Аноним (34), 17:46, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не спешите, возможно он хотел сказать друг-n-drop, так сказать Drag&Drop Friends Edition.
     
     
  • 5.49, Murz (ok), 05:41, 18/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Не спешите, возможно он хотел сказать друг-n-drop, так сказать Drag&Drop Friends Edition.

    правильно переводится "драг-n-друг"  - он просто ищет друзей, у кого можно закупиться драгами в долг "сёдня денег нет, завтра отдам" :)

     
  • 2.30, 123 (??), 16:41, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    https://github.com/sc0tfree/updog
     
     
  • 3.32, Sylvia (ok), 17:23, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    неплохая штученция, но русские имена для файлов не поддерживает.
    и работает очень медленно
     
  • 2.36, Аноним (36), 18:11, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А в винде можно правой кнопкой и расшарить. Когда-то и в линуксе это будет. Когда наиграютсмя менять Х на вайланд и далее
     
     
  • 3.46, Ilya Indigo (ok), 02:05, 18/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А чтобы слить все свои данные то вообще ничего никуда жать не нужно!
    Жрите это сами!
     
  • 3.55, xxgb (?), 09:00, 18/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    и отключить парольную авторизацию или создать учетку отдельную и права дать... а вообще врсе просто конечно. Да, если винда старая сильно то еще в рестре надо шаманить, но это норм.
     
  • 2.43, Аноним (43), 01:10, 18/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да нормально самба работает, чтобы просто файлики пошарить. Вам ж не active directory надо.
     
  • 2.45, Ilya Indigo (ok), 02:03, 18/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ssh/sftp с доступом по ключу и chroot оболочкой для каждого пользователя.
     
  • 2.47, fsd (?), 03:02, 18/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Syncthing
     
     
  • 3.48, Murz (ok), 05:26, 18/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    И чем же в этой задаче поможет Syncthing?

    Он умеет только целую папку синкать на комп, а не отдельные файлы, и пока всё не скачается - сиди-кури-жди.

    А человеку надо просто посмотреть содержимое uploads на соседнем компе не скачивая всё (т.е. только список файлов), потом чёнить выборочно скачать оттуда, чёнить закачать туда.

     
     
  • 4.73, Led (ok), 15:34, 21/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Он умеет только целую папку синкать на комп

    Говорят, у вендузяников и целую мамку синкает.

     
  • 2.54, ya (??), 08:17, 18/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А как тебе такой вариант? Надо ставить клиент на винду и на бубунту.
    https://github.com/abdularis/LAN-Share/releases/
     
  • 2.56, xxgb (?), 09:02, 18/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    самба же. от глупых стереотипов пора отказаться. ну и порты/самбу открывать по необходимости а не навсегда
     

  • 1.2, пох. (?), 12:36, 17/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Никогда не было, и вот, опять!
     
  • 1.9, Домохозяйка анонима (?), 12:49, 17/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +18 +/
    Полная совместимость, всё как заявлено.
     
     
  • 2.11, пох. (?), 12:51, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Ага, а новым модным обновлением, как я понимаю, сломали нахрен возможность подключения с XP и, может, заодно и семерок. Ну а чо, MS велела в морх, значит шва6одные пейсатели берут под козырек и с рвением бегут впереди паровоза выполнять.

    Зато бебебезопастно!

     
     
  • 3.18, m.makhno (ok), 13:09, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    если ты ходишь по SMBv1, то хоть с десятки не дойдешь до места назначения
     
  • 3.42, Аноним (-), 23:06, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Есть подозрение что самбу пилит именно M$. Все по золотому правилу трех кликов, пока что мы проигрываем.
     
  • 2.26, Брат Анон (?), 14:26, 17/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Качественная реализация, чо?

    Вот после этого верь МС про всякие WSL 2 -- они же туда зондов напихают.

     
     
  • 3.52, n242name (?), 06:16, 18/09/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    а кто этим wsl говном пользоваться будет если есть нормальный линукс
     
     
  • 4.57, Брат Анон (?), 10:54, 18/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Анон, ты недооцениваешь тупизну хомячков. Моно же пытаются пилить под Linux? Или Samba делить? (*   смотри на днях новости о качественной реализации *)
     
  • 2.44, Microsoft (?), 01:54, 18/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Все на дно
     

  • 1.41, Аноним (41), 22:54, 17/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    synthing
    seafile
     
     
  • 2.50, Murz (ok), 05:45, 18/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > synthing
    > seafile

    Syncthing - это синхронизация папок между компами, там нельзя просто посмотреть папку на соседнем компе (и выборочно что-то скачать, что-то закачать туда), можно только скачать всё файло к себе, и только потом уже смотреть-править.

    Seafile - аналогично, но ещё и требует установки серверной части, но зато умеет по WebDAV, чтобы не выкачивать себе на комп всю удалённую папку ради того, чтобы посмотреть-закачать пару файлов, это прям плюс.

    Так что оба варианта не решают задачи "побыстрому расшарить папочку чтобы люди рядом могли на своих виндовсах/андроидах/ойфончиках её посмотреть, чтонить оттуда скачать или закачать своё туда.

    Получается, что дырявая Samba - так и остаётся самый оптимальный вариант... :(

     
     
  • 3.53, n242name (?), 06:17, 18/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    эта дыра касается только контроллера домена насколько я понял

    продолжай дальше юзать самбу и желательно v3

     
     
  • 4.62, пох. (?), 16:57, 19/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > продолжай дальше юзать самбу и желательно v3

    это в которой аналог виндового wannacry и вообще никто ничего не исправляет уже лет пять? Да, продолжай, продолжай.

     
     
  • 5.64, n242name (?), 22:06, 19/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> продолжай дальше юзать самбу и желательно v3
    > это в которой аналог виндового wannacry и вообще никто ничего не исправляет
    > уже лет пять? Да, продолжай, продолжай.

    wanncry это не название дыры.. можно пруф на CVE?

     
     
  • 6.65, пох. (?), 23:40, 19/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну мне за тебя гуглем пользоваться?
    Или ты думаешь, я веду коллекцию "пруфов", на случай если немедленно потребуется удовлетворить анонимного пруфодрочена на опеннете?

     
  • 3.58, OpenEcho (?), 02:45, 19/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >Syncthing - это синхронизация папок между компами,

    Это правда

    > там нельзя просто посмотреть папку на соседнем компе (и выборочно что-то скачать, что-то закачать туда),

    Включите двухсторонюю синхронизацию и inotify и все файлы на обоих компах будут всегда одинаковы. Не надо ничего качать туда/сюда оно само будет все одинаково на всех компах которые в рое.
    Почти тоже самое что и сетевая виндовая шара, только не с единой точкой отказа, а распределенная шара с подержкой предыдущих версий файлов

    > можно только скачать всё файло к себе, и только потом уже смотреть-править.

    Не правда, можно работать постояно над файлом и он засинхронизируется сам с другими.

     
     
  • 4.60, Murz (ok), 14:32, 19/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >> можно только скачать всё файло к себе, и только потом уже смотреть-править.
    > Не правда, можно работать постояно над файлом и он засинхронизируется сам с
    > другими.

    Дык задача-то совсем в другом - в том, чтобы расшарить папку соседу для просмотра и выборочного скачивания, а не заливать на его комп всё своё гумно из Аплоадс, накачанное за года

     
     
  • 5.61, OpenEcho (?), 16:15, 19/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Дык задача-то совсем в другом - в том, чтобы расшарить папку соседу
    > для просмотра и выборочного скачивания, а не заливать на его комп
    > всё своё гумно из Аплоадс, накачанное за года

    Дык, читайте опции в меню, - на машине донара "Send only", на машине пиявке "Receive only"

     
     
  • 6.71, Murz (ok), 08:56, 20/09/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >> Дык задача-то совсем в другом - в том, чтобы расшарить папку соседу
    >> для просмотра и выборочного скачивания, а не заливать на его комп
    >> всё своё гумно из Аплоадс, накачанное за года
    > Дык, читайте опции в меню, - на машине донара "Send only", на
    > машине пиявке "Receive only"

    И чо, типа на пиявку не будут в таком режиме начинать заливаться все донорские 100500 файлов, засирая ему весь диск и сетевой канал, а только джва файла, которые ему нужно посмотреть?

     
  • 5.63, OpenEcho (?), 17:02, 19/09/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А если просто просматривать и выборочно скачивать, до достаточно или nginx или единичный файл https://github.com/syntaqx/serve
     

  • 1.70, Аноним (67), 00:51, 20/09/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Да похороните уже домен и SMB нужен сильный игрок который объявит новый открытый стандарт для файловой системы а то пытался я тут WebDAV но он же ущербен дальше некуда
     
     
  • 2.75, Аноним (75), 22:01, 05/09/2023 [^] [^^] [^^^] [ответить]  
  • +/
    JuiceFS надо использовать.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру