Suicide
17.09.2020, 19:22
Разработчики проекта Samba предупредили (https://www.mail-archive.com/samba-announce@lists.samba.org/msg00523.html) пользователей, что недавно выявленная (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1472) в Windows уязвимость ZeroLogin (CVE-2020-1472 (https://security-tracker.debian.org/tracker/CVE-2020-1472)) проявляется (https://bugzilla.samba.org/show_bug.cgi?id=14497) и в реализации контроллера домена на базе Samba. Уязвимость вызвана (https://www.secura.com/pathtoimg.php?id=2055) недоработками в протоколе MS-NRPC и криптоалгоритме AES-CFB8, и при успешной эксплуатации позволяет злоумышленнику получить доступ администратора в контроллере домена.
Суть уязвимости в том, что протокол MS-NRPC (Netlogon Remote Protocol) позволяет при обмене данными аутентификации откатиться на использование RPC-соединения без шифрования. После этого атакующий может использовать брешь в алгоритме AES-CFB8 для подделки (спуфинга) успешного входа в систему. Для входа с правами администратора в среднем требуется около 256 попыток спуфинга. Для совершения атаки не требуется наличие рабочей учётной записи в контроллере домена - попытки спуфинга можно совершать с использованием неверного пароля. Запрос аутентификации через NTLM будет перенаправлен на контроллер домена, который вернёт отказ доступа, но атакующий может подменить данный ответ, и атакуемая система посчитает вход успешным.
В Samba уязвимость проявляется только в системах, не использующих настройку "server schannel = yes", которая начиная с Samba 4.8 выставлена по умолчанию. В частности скомпрометированы могут быть системы с настройками "server schannel = no" и "server schannel = auto", которые позволяют в Samba использовать те же недоработки в алгоритме AES-CFB8, что и в Windows.
При использовании подготовленного для Windows эталонного прототипа эксплоита (https://github.com/SecuraBV/CVE-2020-1472/blob/master/zerologon_tester.py), в Samba срабатывает только вызов ServerAuthenticate3, а операция ServerPasswordSet2 заканчивается сбоем (эксплоит требует адаптации для Samba). Про работоспособность альтернативных эксплоитов (1 (https://github.com/blackarrowsec/redteam-research/tree/master/CVE-2020-1472), 2 (https://github.com/dirkjanm/CVE-2020-1472), 3 (https://github.com/nccgroup/nccfsas/tree/main/Tools/SharpZeroLogon), 4 (https://github.com/gentilkiwi/mimikatz/releases)) ничего не сообщается. Отследить попытки атаки на системы можно через анализ наличия записей с упоминанием ServerAuthenticate3 и ServerPasswordSet в логах аудита Samba.
17.09.2020
https://www.opennet.ru/opennews/art.shtml?num=53728
Суть уязвимости в том, что протокол MS-NRPC (Netlogon Remote Protocol) позволяет при обмене данными аутентификации откатиться на использование RPC-соединения без шифрования. После этого атакующий может использовать брешь в алгоритме AES-CFB8 для подделки (спуфинга) успешного входа в систему. Для входа с правами администратора в среднем требуется около 256 попыток спуфинга. Для совершения атаки не требуется наличие рабочей учётной записи в контроллере домена - попытки спуфинга можно совершать с использованием неверного пароля. Запрос аутентификации через NTLM будет перенаправлен на контроллер домена, который вернёт отказ доступа, но атакующий может подменить данный ответ, и атакуемая система посчитает вход успешным.
В Samba уязвимость проявляется только в системах, не использующих настройку "server schannel = yes", которая начиная с Samba 4.8 выставлена по умолчанию. В частности скомпрометированы могут быть системы с настройками "server schannel = no" и "server schannel = auto", которые позволяют в Samba использовать те же недоработки в алгоритме AES-CFB8, что и в Windows.
При использовании подготовленного для Windows эталонного прототипа эксплоита (https://github.com/SecuraBV/CVE-2020-1472/blob/master/zerologon_tester.py), в Samba срабатывает только вызов ServerAuthenticate3, а операция ServerPasswordSet2 заканчивается сбоем (эксплоит требует адаптации для Samba). Про работоспособность альтернативных эксплоитов (1 (https://github.com/blackarrowsec/redteam-research/tree/master/CVE-2020-1472), 2 (https://github.com/dirkjanm/CVE-2020-1472), 3 (https://github.com/nccgroup/nccfsas/tree/main/Tools/SharpZeroLogon), 4 (https://github.com/gentilkiwi/mimikatz/releases)) ничего не сообщается. Отследить попытки атаки на системы можно через анализ наличия записей с упоминанием ServerAuthenticate3 и ServerPasswordSet в логах аудита Samba.
17.09.2020
https://www.opennet.ru/opennews/art.shtml?num=53728