Разработчики проекта Samba предупредили пользователей, что недавно выявленная в Windows уязвимость ZeroLogin (CVE-2020-1472) проявляется и в реализации контроллера домена на базе Samba. Уязвимость вызвана недоработками в протоколе MS-NRPC и криптоалгоритме AES-CFB8, и при успешной эксплуатации позволяет злоумышленнику получить доступ администратора в контроллере домена.
Суть уязвимости в том, что протокол MS-NRPC (Netlogon Remote Protocol) позволяет при обмене данными аутентификации откатиться на использование RPC-соединения без шифрования. После этого атакующий может использовать брешь в алгоритме AES-CFB8 для подделки (спуфинга) успешного входа в систему. Для входа с правами администратора в среднем требуется около 256 попыток спуфинга. Для совершения атаки не требуется наличие рабочей учётной записи в контроллере домена - попытки спуфинга можно совершать с использованием неверного пароля. Запрос аутентификации через NTLM будет перенаправлен на контроллер домена, который вернёт отказ доступа, но атакующий может подменить данный ответ, и атакуемая система посчитает вход успешным.
В Samba уязвимость проявляется только в системах, не использующих настройку "server schannel = yes", которая начиная с Samba 4.8 выставлена по умолчанию. В частности скомпрометированы могут быть системы с настройками "server schannel = no" и "server schannel = auto", которые позволяют в Samba использовать те же недоработки в алгоритме AES-CFB8, что и в Windows.
При использовании подготовленного для Windows эталонного прототипа эксплоита, в Samba срабатывает только вызов ServerAuthenticate3, а операция ServerPasswordSet2 заканчивается сбоем (эксплоит требует адаптации для Samba).
• Exploit: https://github.com/SecuraBV/CVE-2020-1472/blob/master/zerologon_tester.py
Про работоспособность альтернативных эксплоитов ничего не сообщается.
• Exploit1: https://github.com/blackarrowsec/redteam-research/tree/master/CVE-2020-1472
• Exploit2: https://github.com/nccgroup/nccfsas/tree/main/Tools/SharpZeroLogon
• Exploit3: https://github.com/gentilkiwi/mimikatz/releases
• Exploit4: https://github.com/dirkjanm/CVE-2020-1472
Отследить попытка атаки на системы можно через анализ наличия записей с упоминанием ServerAuthenticate3 и ServerPasswordSet в логах аудита Samba.
• Source: https://www.mail-archive.com/samba-announce@lists.samba.org/msg00523.html
• Source: https://www.secura.com/pathtoimg.php?id=2055
Суть уязвимости в том, что протокол MS-NRPC (Netlogon Remote Protocol) позволяет при обмене данными аутентификации откатиться на использование RPC-соединения без шифрования. После этого атакующий может использовать брешь в алгоритме AES-CFB8 для подделки (спуфинга) успешного входа в систему. Для входа с правами администратора в среднем требуется около 256 попыток спуфинга. Для совершения атаки не требуется наличие рабочей учётной записи в контроллере домена - попытки спуфинга можно совершать с использованием неверного пароля. Запрос аутентификации через NTLM будет перенаправлен на контроллер домена, который вернёт отказ доступа, но атакующий может подменить данный ответ, и атакуемая система посчитает вход успешным.
В Samba уязвимость проявляется только в системах, не использующих настройку "server schannel = yes", которая начиная с Samba 4.8 выставлена по умолчанию. В частности скомпрометированы могут быть системы с настройками "server schannel = no" и "server schannel = auto", которые позволяют в Samba использовать те же недоработки в алгоритме AES-CFB8, что и в Windows.
При использовании подготовленного для Windows эталонного прототипа эксплоита, в Samba срабатывает только вызов ServerAuthenticate3, а операция ServerPasswordSet2 заканчивается сбоем (эксплоит требует адаптации для Samba).
• Exploit: https://github.com/SecuraBV/CVE-2020-1472/blob/master/zerologon_tester.py
Про работоспособность альтернативных эксплоитов ничего не сообщается.
• Exploit1: https://github.com/blackarrowsec/redteam-research/tree/master/CVE-2020-1472
• Exploit2: https://github.com/nccgroup/nccfsas/tree/main/Tools/SharpZeroLogon
• Exploit3: https://github.com/gentilkiwi/mimikatz/releases
• Exploit4: https://github.com/dirkjanm/CVE-2020-1472
Отследить попытка атаки на системы можно через анализ наличия записей с упоминанием ServerAuthenticate3 и ServerPasswordSet в логах аудита Samba.
• Source: https://www.mail-archive.com/samba-announce@lists.samba.org/msg00523.html
• Source: https://www.secura.com/pathtoimg.php?id=2055