Vulnerabilidade crítica do Windows Server afeta também Samba. Os administradores que executam o Samba como seus controladores de domínio devem atualizar suas instalações, pois o software de código-fonte aberto sofre do mesmo buraco ZeroLogon que o Windows Server da Microsoft.
Um alerta do projeto confirmou que seu código, em certas configurações, também é vulnerável ao bug CVE-2020-1472 , que pode ser explorado para obter acesso de administrador em nível de domínio.
A vulnerabilidade está no design do Netlogon Remote Protocol ( MS-NRPC ) da Microsoft , que o Samba herdou ao oferecer suporte à tecnologia.
De acordo com Andrew Bartlett e Douglas Bagnall do projeto, se você é afetado ou não pelo bug depende da versão e das configurações do Samba. A configuração padrão na versão 4.8 e superior protege contra exploits conhecidos, fomos informados:
No entanto, desde a versão 4.8 (lançada em março de 2018), o comportamento padrão do Samba tem sido insistir em um canal de logon de rede seguro, que é uma correção suficiente contra os exploits conhecidos. Este padrão é equivalente a ter ‘server schannel = yes’ no smb.conf.
Portanto, as versões 4.8 e superiores não são vulneráveis a menos que tenham as linhas smb.conf ‘server schannel = no’ ou ‘server schannel = auto’. As versões 4.7 e inferiores do Samba são vulneráveis, a menos que tenham ‘server schannel = yes’ no smb.conf.
Observe que cada controlador de domínio precisa das configurações corretas em seu smb.conf.
Os pesquisadores disseram ao The Register que o Samba rodando como um Active Directory ou controlador de domínio no estilo NT4 clássico está em risco e, embora as instalações apenas de servidor de arquivos não sejam afetadas diretamente, “eles podem precisar de alterações de configuração para continuar a falar com os controladores de domínio”.
“Os servidores de arquivos e membros do domínio não executam o serviço netlogon nas versões do Samba com suporte e só precisam garantir que não tenham definido ‘client schannel = no’ para operação contínua em controladores de domínio protegidos como o Samba 4.8 e posterior, e controladores de domínio do Windows em 2021” acrescentaram Bartlett e Bagnall.
“Os usuários que executam o Samba como um servidor de arquivos ainda devem corrigir para garantir que as mitigações do lado do servidor (banindo certos valores não aleatórios) não afetem muito raramente o serviço.“
A falha é resolvida no Samba 4.10.18, 4.11.13 e 4.12.7. No schannel = yes
entretanto, definir o arquivo smb.conf não o protegerá necessariamente por completo. O The Register foi informado de que, mesmo neste caso, ainda pode existir “uma vulnerabilidade contra o Samba, apesar de não ser possível acessar nenhuma funcionalidade privilegiada“. A opção mais segura é atualizar e habilitar canais de logon de rede seguros. Se seus aplicativos não funcionarem com schannel
, soluções alternativas são oferecidas, afirma o The Register.
A atualização vem em meio a pedidos crescentes de administradores de sistemas para verificar e corrigir seus sistemas contra CVE-2020-1472 devido ao lançamento público de código de exploração para a falha de segurança e crescente probabilidade de ataques in-the-wild. O bug foi corrigido no Windows Server como parte do pacote August Patch Tuesday da Microsoft.
Na semana passada, a CISA tomou a rara etapa de emitir um prazo rígido para que as organizações federais corrigissem seus sistemas contra a falha, notificando os órgãos de TI que tinham até o final de 21 de setembro para garantir que seus controladores de domínio estivessem atualizados.
“Este ataque tem um grande impacto“, alertou a agência de segurança cibernética. “Basicamente, permite que qualquer invasor na rede local (como um insider malicioso ou alguém que simplesmente conectou um dispositivo a uma porta de rede local) comprometa completamente o Domínio do Windows. ”
CVE-2020-1472 | Vulnerabilidade de elevação de privilégio do Netlogon
Existe uma vulnerabilidade de elevação de privilégio quando um invasor estabelece uma conexão de canal seguro Netlogon vulnerável com um controlador de domínio, usando o protocolo remoto Netlogon ( MS-NRPC ). Um invasor que explorar com êxito a vulnerabilidade pode executar um aplicativo especialmente criado em um dispositivo da rede.
Para explorar a vulnerabilidade, um invasor não autenticado teria que usar o MS-NRPC para se conectar a um controlador de domínio para obter acesso de administrador de domínio.
A Microsoft está abordando a vulnerabilidade em uma distribuição em duas partes em fases. Essas atualizações corrigem a vulnerabilidade, modificando como o Netlogon lida com o uso de canais seguros do Netlogon.
Para obter orientações sobre como gerenciar as alterações necessárias para esta vulnerabilidade e mais informações sobre a distribuição em fases, consulte Como gerenciar as alterações nas conexões de canal seguro Netlogon associadas a CVE-2020-1472 .
Quando a segunda fase das atualizações do Windows estiver disponível no primeiro trimestre de 2021, os clientes serão notificados por meio de uma revisão dessa vulnerabilidade de segurança. Se você deseja ser notificado quando essas atualizações forem lançadas, a Microsoft recomenda que você se registre no mailer de notificações de segurança para ser alertado sobre as alterações de conteúdo deste comunicado. Consulte Notificações de segurança técnica da Microsoft .
A Microsoft não identificou nenhum fator de mitigação ou solução alternativa para esta vulnerabilidade.
Fonte: The Register & Microsoft
Veja também:
- Deloitte condenada a pagar 23 milhões de Euros pela auditoria fraudulenta
- LGPD Primeira ação pública por tratamento ilegal de dados Pessoais
- Privacidade nas mídias sociais, como impedir que vazem!
- Equinix é atingida por ransomware, ataque pode ter chegado ao Brasil
- Bolsonaro sanciona lei e LGPD vale a partir de hoje – 18/09
- Dados confidenciais da indústria de cibersegurança na Dark Web
- Servidores Docker infectados com malware DDoS XORDDoS e Kaiji
- Projeto da Universidade rastreia ataques de ransomware em infraestrutura crítica
- Infection Monkey – ferramenta gratuita de simulação de violações e ataques com novas funcionalidades
- Rastreando os alvos de ataques de cybersquatting
- Ransomware REVil para o banco chileno BancoEstado
- Hackers usam ferramenta legítima para atacar Docker e Kubernetes
Deixe sua opinião!