WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Microsoft, Samba phát hành bản vá cho lỗ hổng Badlock
Bản cập nhật do Microsoft và Samba phát hành vào thứ Ba (12/4) vá lỗ hổng Badlock, mặc dù lỗ hổng được xác định không nghiêm trọng như dự đoán.
Samba là bộ phần mềm tương tác mã nguồn mở, cung cấp các dịch vụ in và lưu file cho khách hàng SMB/CIFS. Stefan Metzmacher , nhân viên thuộc Samba Core Team của SerNet, đã phát hiện thấy công cụ này tồn tại lỗ hổng có thể bị khai thác để tấn công man-in-the-middle (MITM) và tấn công từ chối dịch vụ (DoS).
Khoảng 3 tuần trước khi đưa ra bản vá, SerNet đã đặt tên lỗ hổng là Badlock, đồng thời tạo website và logo cho lỗi nhằm giúp người dùng nhận thức về Badlock cũng như quảng cáo thêm cho các dịch vụ của hãng.
Nhiều chuyên gia đã chỉ trích SerNet về tiết lộ này, cho rằng tin tặc có thể có đủ manh mối và thời gian để khai thác lỗ hổng trước khi được phát hành bản vá. Tuy nhiên, vấn đề hóa ra lại ít nghiêm trọng hơn so với dự đoán.
Microsoft, từng đánh giá lỗ hổng ở mức "quan trọng", cũng lưu ý vấn đề này ảnh hưởng đến các giao thức SAM và LSAD trong một khuyến cáo của hãng.
"Lỗ hổng có thể cho phép leo thang đặc quyền nếu hacker khởi phát tấn công MiTM. Sau đó, tin tặc có thể hạ xuống mức xác thực các kênh SAM và LSAD và mạo danh một người dùng xác thực", Microsoft cho biết.
Theo SerNet, Badlock có thể bị khai thác bởi hacker có khả năng kết nối mạng từ xa tới một dịch vụ Samba mục tiêu nhằm khởi phát các cuộc tấn công DoS. Lỗ hổng cũng cho phép tin tặc tiến hành các cuộc tấn công MITM vào nhiều giao thức khác nhau được sử dụng bởi Samba, đồng thời thực hiện các cuộc gọi mạng Samba tùy ý mạo danh người dùng bị chặn.
Nếu hacker có thể chặn lưu lượng mạng của quản trị, chúng có thể thay đổi quyền người dùng trên các tập tin được lưu trữ trên một máy chủ Samba tiêu chuẩn, xem hoặc thay đổi các thông tin bí mật trong cơ sở dữ liệu AD (bao gồm các hàm băm mật khẩu người dùng) trên máy chủ Samba AD.
SerNet dự đoán mã khai thác lỗ hổng sẽ sớm được phát triển. SerNet cho biết hãng có một số PoC, nhưng chưa phát hành trong tương lai gần.
Samba xác định các lỗ hổng chính là CVE-2016-2118, trong khi Microsoft nghĩ đó phải là CVE-2016-0128. CVE bổ sung Samba chỉ định cho Badlock là CVE-2015-5370, CVE-2016-2110, CVE-2016-2111, CVE-2016-2112, CVE-2016-2113, CVE-2016-2114 và CVE-2016-2115.
Lỗ hổng này ảnh hưởng đến các phiên bản Samba 3.6.x, 4.0.x, 4.1.x, 4.2.0-4.2.9, 4.3.0-4.3.6 và 4.4.0, và đã được vá trong phiên bản 4.2. 10 / 4.2.11, 4.3.7 / 4.3.8 và 4.4.1 / 4.4.2. Microsoft đã vá các lỗi trong Windows trong bản cập nhật MS16-047.
Ngoài MS16-047, Microsoft phát hành 14 bản cập nhật cũng nằm trong bản vá ngày thứ Ba của tháng 3/2016, xử lý hàng chục lỗ hổng nghiêm trọng và quan trọng ảnh hưởng Windows, Internet Explorer, Edge, Office, .NET, và Adobe Flash Player. Hãng chưa ghi nhận bất kỳ cuộc tấn công nào khai thác các lỗ hổng này.
Nguồn: Security Week
Samba là bộ phần mềm tương tác mã nguồn mở, cung cấp các dịch vụ in và lưu file cho khách hàng SMB/CIFS. Stefan Metzmacher , nhân viên thuộc Samba Core Team của SerNet, đã phát hiện thấy công cụ này tồn tại lỗ hổng có thể bị khai thác để tấn công man-in-the-middle (MITM) và tấn công từ chối dịch vụ (DoS).
Khoảng 3 tuần trước khi đưa ra bản vá, SerNet đã đặt tên lỗ hổng là Badlock, đồng thời tạo website và logo cho lỗi nhằm giúp người dùng nhận thức về Badlock cũng như quảng cáo thêm cho các dịch vụ của hãng.
Nhiều chuyên gia đã chỉ trích SerNet về tiết lộ này, cho rằng tin tặc có thể có đủ manh mối và thời gian để khai thác lỗ hổng trước khi được phát hành bản vá. Tuy nhiên, vấn đề hóa ra lại ít nghiêm trọng hơn so với dự đoán.
Microsoft, từng đánh giá lỗ hổng ở mức "quan trọng", cũng lưu ý vấn đề này ảnh hưởng đến các giao thức SAM và LSAD trong một khuyến cáo của hãng.
"Lỗ hổng có thể cho phép leo thang đặc quyền nếu hacker khởi phát tấn công MiTM. Sau đó, tin tặc có thể hạ xuống mức xác thực các kênh SAM và LSAD và mạo danh một người dùng xác thực", Microsoft cho biết.
Theo SerNet, Badlock có thể bị khai thác bởi hacker có khả năng kết nối mạng từ xa tới một dịch vụ Samba mục tiêu nhằm khởi phát các cuộc tấn công DoS. Lỗ hổng cũng cho phép tin tặc tiến hành các cuộc tấn công MITM vào nhiều giao thức khác nhau được sử dụng bởi Samba, đồng thời thực hiện các cuộc gọi mạng Samba tùy ý mạo danh người dùng bị chặn.
Nếu hacker có thể chặn lưu lượng mạng của quản trị, chúng có thể thay đổi quyền người dùng trên các tập tin được lưu trữ trên một máy chủ Samba tiêu chuẩn, xem hoặc thay đổi các thông tin bí mật trong cơ sở dữ liệu AD (bao gồm các hàm băm mật khẩu người dùng) trên máy chủ Samba AD.
SerNet dự đoán mã khai thác lỗ hổng sẽ sớm được phát triển. SerNet cho biết hãng có một số PoC, nhưng chưa phát hành trong tương lai gần.
Samba xác định các lỗ hổng chính là CVE-2016-2118, trong khi Microsoft nghĩ đó phải là CVE-2016-0128. CVE bổ sung Samba chỉ định cho Badlock là CVE-2015-5370, CVE-2016-2110, CVE-2016-2111, CVE-2016-2112, CVE-2016-2113, CVE-2016-2114 và CVE-2016-2115.
Lỗ hổng này ảnh hưởng đến các phiên bản Samba 3.6.x, 4.0.x, 4.1.x, 4.2.0-4.2.9, 4.3.0-4.3.6 và 4.4.0, và đã được vá trong phiên bản 4.2. 10 / 4.2.11, 4.3.7 / 4.3.8 và 4.4.1 / 4.4.2. Microsoft đã vá các lỗi trong Windows trong bản cập nhật MS16-047.
Ngoài MS16-047, Microsoft phát hành 14 bản cập nhật cũng nằm trong bản vá ngày thứ Ba của tháng 3/2016, xử lý hàng chục lỗ hổng nghiêm trọng và quan trọng ảnh hưởng Windows, Internet Explorer, Edge, Office, .NET, và Adobe Flash Player. Hãng chưa ghi nhận bất kỳ cuộc tấn công nào khai thác các lỗ hổng này.
Nguồn: Security Week