Los desarrolladores del proyecto Samba dieron a conocer recientemente mediante un anunció a los usuarios sobre el descubrimiento de una vulnerabilidad «ZeroLogin» en Windows (CVE-2020-1472) y que también se manifiesta en la implementación de un controlador de dominio basado en Samba.
La vulnerabilidad es causada por fallas en el protocolo MS-NRPC y el criptoalgoritmo AES-CFB8, y si se explota con éxito, permite que un atacante obtenga derechos de administrador en un controlador de dominio.
La esencia de la vulnerabilidad es que MS-NRPC (Netlogon Remote Protocol) permite que el intercambio de datos de autenticación recurra al uso de una conexión RPC sin cifrado.
Un atacante puede entonces aprovechar una falla en el algoritmo AES-CFB8 para falsificar (suplantar) un inicio de sesión exitoso. Se necesitan aproximadamente 256 intentos de suplantación de identidad para iniciar sesión con derechos de administrador en promedio.
El ataque no requiere una cuenta que funcione en el controlador de dominio; se pueden realizar intentos de suplantación con una contraseña incorrecta.
La solicitud de autenticación NTLM se redirigirá al controlador de dominio, que devolverá el acceso denegado, pero el atacante puede falsificar esta respuesta y el sistema atacado considerará que el inicio de sesión fue exitoso.
Existe una vulnerabilidad de elevación de privilegios cuando un atacante establece una conexión de canal seguro Netlogon vulnerable a un controlador de dominio, utilizando el Protocolo remoto de Netlogon ( MS-NRPC ). Un atacante que aprovechara con éxito la vulnerabilidad podría ejecutar una aplicación especialmente diseñada en un dispositivo de la red.
Para aprovechar la vulnerabilidad, se requeriría que un atacante no autenticado usara MS-NRPC para conectarse a un controlador de dominio para obtener acceso de administrador de dominio.
En Samba, la vulnerabilidad aparece solo en sistemas que no usan la configuración «server schannel=yes», que es la predeterminada desde Samba 4.8.
En particular, los sistemas con las configuraciones «server schannel=no» y «server schannel=auto» pueden verse comprometidos, lo que permite que Samba use las mismas fallas en el algoritmo AES-CFB8 que en Windows.
Cuando se utiliza el prototipo de referencia del exploit preparado para Windows, solo se activa la llamada ServerAuthenticate3 en Samba y la operación ServerPasswordSet2 falla (el exploit requiere adaptación para Samba).
Es por ello que los desarrolladores de Samba invitan a los usuarios que hayan realizado el cambio de server schannel=yes a «no» o «auto», vuelvan a la configuración por defecto «yes» y con ello evitar el problema de la vulnerabilidad.
No se informó nada sobre el rendimiento de exploits alternativos, aun que puede realizarse un seguimiento de los intentos de atacar los sistemas analizando la presencia de entradas con la mención de ServerAuthenticate3 y ServerPasswordSet en los registros de auditoría de Samba.
Microsoft está abordando la vulnerabilidad en una implementación en dos fases. Estas actualizaciones abordan la vulnerabilidad al modificar la forma en que Netlogon maneja el uso de los canales seguros de Netlogon.
Cuando la segunda fase de las actualizaciones de Windows esté disponible en el primer trimestre de 2021, los clientes serán notificados mediante una revisión de esta vulnerabilidad de seguridad.
Finalmente en cuanto a los que son usuarios de versiones de samba anteriores realicen la actualización pertinente a la última version estable de samba u opten por aplicar los parches correspondientes para solucionar esta vulnerabilidad.
Samba tiene cierta protección para este problema porque desde Samba 4.8 tenemos un valor predeterminado de ‘server schannel=yes’.
Se advierte a los usuarios que han cambiado este valor predeterminado que Samba implementa el protocolo netlogon AES fielmente y así cae al mismo falla en el diseño del criptosistema.
Los proveedores que admiten Samba 4.7 y versiones anteriores deben parchear sus instalaciones y paquetes para cambiar este valor predeterminado.
NO son seguras y esperamos que puedan resultar en un compromiso total del dominio, particularmente para los dominios AD.
Por último, si estás interesado en conocer mas al respecto sobre esta vulnerabilidad puedes consultar los anuncios realizados por el equipo de samba (en este enlace) o también por parte de Microsoft (en este enlace).
Fuente: ubunlog
